Darkhotel : patrons et cadres cibles des pirates dans les grands hôtels

culture geek

Par Elodie le

C’est une vaste campagne d’espionnage, débutée il y a 4 ans, et ciblant les grands patrons et cadres dirigeants d’entreprises lors de leur séjour hotelier qui vient d’être révélée par Kapersky Lab.

darkhotel_pirate_patrons_wifi

Désormais la plupart des hôtels disposent et proposent à leurs clients une connexion Wi-Fi. C’est par ce biais que des pirates ont mis au point un système permettant d’infiltrer les ordinateurs de leurs cibles et de subtiliser nombre de données sensibles de cadres et dirigeants d’entreprises du monde entier.

Darkhotel, c’est le nom de cette campagne de piratage de grande ampleur « tapie dans l’ombre depuis au moins quatre ans » selon Kapersky Lab, qui précise que 90% des attaques se situent en Asie (Japon, Taïwan, Chine, Corée du Sud mais également en Russie). Cependant les cibles privilégiées semblent venir des États-Unis, d’Asie et d’autres pays.

« Les pirates ne s’attaquent jamais deux fois à la même victime : opérant avec une précision chirurgicale, ils obtiennent le plus possible d’informations de valeur dès le premier contact, effaçant les traces de leurs agissements et se fondant dans le décor en attendant la prochaine cible d’envergure. Parmi les victimes les plus récentes figurent notamment de hauts responsables – PDG, directeurs des ventes et du marketing, chercheurs de haut niveau, etc. – d’entreprises américaines ou asiatiques en voyage d’affaires dans la région Asie-Pacifique. La question est de savoir qui sera la prochaine cible de cette menace encore active… » précise la société de sécurité informatique russe, Kapersly Lab.

Rien de bien compliqué pour tout pirate chevronné puisque la manœuvre est bien rodée mais surtout indétectable car prenant l’apparence d’une mise à jour anodine au moment de la connexion au réseau wi-fi de l’hôtel. Ainsi, ces pirates « ont déployé un dispositif efficace d’intrusion des réseaux d’hôtels, leur permettant d’accéder à des systèmes même réputés privés et sécurisés. Ils attendent que leur victime, à son arrivée à l’hôtel, se connecte au réseau Wi-Fi de l’établissement, communiquant son nom et son numéro de chambre. Ils l’accueillent alors sur le réseau infecté et l’incitent à télécharger et installer un malware de type backdoor, censé être une mise à jour de logiciels courants (GoogleToolbar, Adobe Flash ou Windows Messenger). La victime télécharge sans méfiance ce « cadeau de bienvenue » de l’hôtel, ce qui n’a d’autre effet que d’infecter sa machine avec le logiciel espion de Darkhotel« .

darkhotel_pirate_connexion_wifi_patrons
Beaucoup plus facile de récupérer des données à distance désormais…

Une fois implanté sur un système, la backdoor sert à télécharger des outils de vol plus élaborés : un enregistreur de frappes clavier (keylogger) à signature numérique, le cheval de Troie « Karba » ainsi qu’un module de vol d’informations. Ces outils collectent des données sur le système et les logiciels antimalwares qui y sont installés, Ils recherchent également des mots de passe cachés dans les navigateurs Firefox, Chrome et Internet Explorer, des identifiants Gmail Notifier, Twitter, Facebook, Yahoo! ou Google, ainsi que d’autres informations privées. Les victimes se font dérober des données sensibles, vraisemblablement des éléments de propriété intellectuelle appartenant à leur entreprise. Après leur intrusion, les pirates effacent minutieusement tous leurs outils du réseau de l’hôtel et se remettent à l’affût dans l’ombre.

Ce qui fait dire à Kurt Baumgartner, Principal Security Researcher du GReAT de Kaspersky Lab, que les pirates derrière la campagne Darkhotel ne sont pas des amateurs mais ont « des compétences d’attaque opérationnelles, mathématiques et cryptoanalytiques, ainsi que d’autres ressources suffisantes pour abuser des réseaux commerciaux dignes de confiance et cibler des catégories spécifiques de victimes avec une précision stratégique« .

En revanche la société russe ne communique pas sur les nombres d’attaques perpétrées, les connexions viciées et les hôtels touchés.
Avec ces révélations il est aisé d’imaginer l’impact et les conséquences qu’une telle attaque pourrait avoir si elle était déployée à grande échelle. Comme nous vous le signalions récemment, il y a 44,7 millions de bornes wi-fi dans le monde (la France détient pour l’heure le plus important réseau Wi-Fi au monde) qui peuvent être commerciaux (trains, avions, hôtels, restaurants, etc.) ou domestiques.

Source: Source