{"id":4342,"date":"2014-11-11T19:18:35","date_gmt":"2014-11-11T19:18:35","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=4342"},"modified":"2020-02-26T13:21:59","modified_gmt":"2020-02-26T16:21:59","slug":"darkhotel-campanha-de-espionagem-em-hoteis-de-luxo-da-asia","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/darkhotel-campanha-de-espionagem-em-hoteis-de-luxo-da-asia\/4342\/","title":{"rendered":"DarkHotel: campanha de espionagem em hot\u00e9is de luxo da \u00c1sia"},"content":{"rendered":"

A ciberespionagem \u00e9 a arma do s\u00e9culo 2 e ela \u00e9 t\u00e3o perigosa que inclusive um aplicativo m\u00f3vel aparentemente inofensivo \u00e9 capaz de descobrir alguns segredos de um usu\u00e1rio descuidado. Se existe ferramentas para atacar usu\u00e1rios comuns, ent\u00e3o o que podemos esperar das campanhas de vigil\u00e2ncia em grande escala criadas especificamente para espiar representantes das principais empresas e organiza\u00e7\u00f5es governamentais do mundo?<\/p>\n

\"DH\"<\/a><\/p>\n

Nas \u00faltimas semanas, a Kaspersky Lab descobriu uma rede de espionagem, batizada de \u2018Darkhotel \u201c, que est\u00e1 ativa h\u00e1 mais de 07 anos em distintos\u00a0hot\u00e9is asi\u00e1ticos. Mas isso n\u00e3o \u00e9 tudo, os espi\u00f5es inteligentes e profissionais envolvidos nesta opera\u00e7\u00e3o de longa dura\u00e7\u00e3o criaram um conjunto de ferramentas que que consiste em variadas formas e m\u00e9todos para invadir os computadores das v\u00edtimas.<\/p>\n

O FBI mencionou pela primeira vez os ataques do DarkHotek em\u00a02012. No entanto, o malware usado na campanha de espionagem (conhecido como Tapaoux) surgiu em\u00a02007. As pesquisas realizadas sobre os servidores C & C e os registros utilizados para gerenciar a campanha determinaram que as conex\u00f5es datam de janeiro de 2009. Portanto, levado em conta todos estes fatores, a campanha parece ter estado\u00a0ativa por um bom tempo.<\/p>\n

A campanha de espionagem #Darkhotel parece estar ativa h\u00e1 sete anos<\/p>Tweet<\/a><\/blockquote>\n

O m\u00e9todo que os cibercriminsos utilizaram com maior frequ\u00eancia para se infiltrar nos computadores das v\u00edtimas foram as redes Wi-Fi de v\u00e1rios hot\u00e9is de luxo do continente asi\u00e1tico. Tudo indica que os cibercriminosos exploraram vulnerabilidade de zerp-day presentes no Adobe Flash e outros programas populares de importantes empresas. Levando em considera\u00e7\u00e3o que essas vulnerabilidades n\u00e3o s\u00e3o f\u00e1ceis de encontrar, podemos supor tr\u00eas coisas: ou a campanha foi financiada economicamente por pessoas com muito dinheiro<\/a> (as armas cibern\u00e9ticas de alta complexidade s\u00e3o cariss\u00edmas) ou os agenteenvolvidos nesta campanha de espionagem s\u00e3o de um altiss\u00edmo n\u00edvel de profissionalismo. O mais prov\u00e1vel \u00e9 que ambos os fatores s\u00e3o verdadeiros.<\/p>\n

\"grey-The-Dark-Hotel\"<\/a><\/p>\n

O m\u00e9todo que acabamos de mencionar foi, provavelmente o mais utilizado, n\u00e3o foi o \u00fanico que os cibercriminosos empregaram para levar adiante a campanha. Outras t\u00e1ticas alternativas inclu\u00edram trojans ocultos em arquivos de comics para adultos e links de phising enviados para e-mails de empregados do Estado e organiza\u00e7\u00f5es n\u00e3o governamentais.<\/p>\n

Os cibercriminosos usaram um keylogger sofisticado que inclu\u00eda um m\u00e9todo para roubar senhas salvas\u00a0nos navegadores populares.<\/div>\n

S\u00e3o muitas as causas, al\u00e9m do uso das vulnerabilidade zero-day, que evidenciam o alto n\u00edvel de consci\u00eancia dos cibercriminosos. Eles chegaram t\u00e3o longe que inclusive conseguiram criar certificados de seguran\u00e7a digital, com o objetivo de espionar os canais de comunica\u00e7\u00e3o utilizados pelas v\u00edtimas. Estes ladr\u00f5es digitais utilizaram um keylogger sofisticado que consistiu em um m\u00f3dulo integrados para roubar senhas salvas nos navegadores\u00a0populares.<\/p>\n

Curiosamente, os culpados eram extremamente cautelosos e projetaram uma s\u00e9rie de medidas para impedir a detec\u00e7\u00e3o do malware. Em primeiro lugar, eles garantiram que o v\u00edrus tivesse um \u201cper\u00edodo de incuba\u00e7\u00e3o\u201d\u00a0muito longo: a primeira vez que o Trojan se conectou aos servidores C & C foi em 180 dias depois de ter se infiltrado nos sistemas. Em segundo lugar, o programa spyware tinha um protocolo de auto-destrui\u00e7\u00e3o se o idioma do sistema mudasse para coreano.<\/p>\n

Os cibercriminosos estavam operando principalmente no Jap\u00e3o, Taiwan e China. No entanto, a Kaspersky Lab conseguiu detectar ataques em outros pa\u00edses, incluindo aqueles\u00a0territ\u00f3rios que estavam longe dos seus\u00a0interesses.<\/p>\n