一個存在長達(dá)七年的網(wǎng)絡(luò)間諜組織正把攻擊目標(biāo)鎖定在全球大型企業(yè)的高管身上。他們通過高級持續(xù)性威脅(APT)攻擊，利用0day漏洞利用程序和鍵盤記錄器，從這些企業(yè)高管商業(yè)訪問時所住豪華酒店的網(wǎng)絡(luò)中竊取信息。

[[122673]]

卡巴斯基實驗室(Kaspersky Lab)的安全研究員把這一威脅命名為“DarkHotel APT”，DarkHotel APT組織的攻擊者有能力提前知曉攻擊目標(biāo)(企業(yè)高管)的酒店入住時間以及退房時間。

該組織從2009年就開始在亞洲實施攻擊了，同時在美國、德國、愛爾蘭等其他國家也出現(xiàn)過該組織的入侵事件記錄。他們主要是利用酒店的無線網(wǎng)絡(luò)有針對性的瞄準(zhǔn)生產(chǎn)制造、國防、投資資本、私人股權(quán)投資、汽車等行業(yè)的精英管理者。

攻擊方式

據(jù)卡巴斯基實驗室的研究報告，該組織是使用0day漏洞和漏洞利用程序去攻擊受害者的。攻擊者會使用三種不同的惡意軟件分布方法：惡意無線網(wǎng)絡(luò)、P2P種子陷阱、特制的高級魚叉式網(wǎng)絡(luò)釣魚。

當(dāng)目標(biāo)高管把它們的設(shè)備連接到酒店的無線或者有線時，他們的設(shè)備上就會出現(xiàn)偽造的軟件更新提醒，如Adobe Flash，Google Toolbar，WindowsMessenger等軟件的更新提示。而這些提示更新的軟件均被植入了一個叫做木馬滴管(trojan dropper)的惡意軟件。

木馬滴管里安裝了多種鍵盤記錄器和跟蹤程序，它們可以追蹤到受害者敲擊鍵盤的記錄和瀏覽網(wǎng)頁時保存的密碼、商業(yè)機(jī)密和其他隱私信息，然后將這些竊取的資料上傳給Darkhotel組織。

DarkHotel惡意軟件有能力去分解一個克隆證書所生成的密鑰，制造一個可信任的證書。而攻擊者分解并利用弱密鑰的示例已經(jīng)不新鮮了，早在2011年Fox-IT，Microsoft，Mozilla和Entrust就已經(jīng)發(fā)出過警告。DarkHotel組織在近期竊取了第三方證書來簽名他們的惡意程序。

簡單粗暴的安全建議

如果你是企業(yè)高管或關(guān)鍵人物，為了不讓攻擊者竊取到你的機(jī)密隱私信息，最簡單的方法就是不要直接連接酒店的無線網(wǎng)絡(luò)和任何其他不受信任的網(wǎng)絡(luò)，盡量使用手機(jī)移動數(shù)據(jù)流量上網(wǎng)。

參考信息來源：http://thehackernews.com