Hotel-Malware infiziert Geschäftsreisende

Zielgerichtete Angriffe gegen Hotelgäste sind wieder im Kommen

Verfasser: Berk Kutsal
Datum: 9. September 2015
Lesedauer: 3 Minuten

DarkHotel ist keine neue Malware, im Gegenteil. Seit 2007 treibt der Schädling immer wieder sein Unwesen und zielt vor allem auf Geschäftsreisende. Und zwar nicht irgendwo unterwegs in kostenlosen WLANs, sondern sobald sie sich in ihrem Hotel entspannen und anmelden. DarkHotel ist dabei nicht in irgendwelchen Hotels unterwegs, im Gegenteil. Die Malware wartet im WLAN auf neue Nutzer, die sich anmelden und lässt anschließend eine angebliche Meldung aufpoppen, dass ein Update für Adobe verfügbar sei. Falls die Nutzer dieses Update installieren, infiziert DarkHotel ihre Rechner.

Die früheren Angriffsmethoden nutzten unter anderem Zero-Day-Schwachstellen. Insgesamt waren die Attacken bislang enorm versiert durchgeführt und technisch ansprechend. Nicht nur lauerte die Malware über Jahre in den Netzwerken der Hotels, sie nutze auch ausgefeilte Techniken um Eingaben abzufangen. Ursprünglich waren vor allem Hotelketten in Asien das Ziel, inzwischen taucht DarkHotel auch in amerikanischen Hotelketten auf.

Und es gibt noch weitere Neuerungen: DarkHotel nutzt neue gefundene ZeroDay-Schwachstelle in Adobe Flash um die Systeme zu infizieren. Diese stammen aus dem Fundus des HackingTeams, einem italienischen Sicherheitsanbieter, der neben passiver Abwehr auch aktive Angriffstools in Petto hatte. Dazu gehörten auch neue Angriffsmethoden – und diese sind nun in den Händen der Angreifer.

Jarno Niemelä, Forscher bei F-Secure, meint zu den neuen Angriffsmethoden von DarkHotel:

Das einzigartige Feature von DarkHotel ist, dass die Attacke erfolgt, bevor der PC überhaupt Zugriff aufs Unternehmensnetzwerk oder das Internet hat. Das bedeutet, dass Schutzfunktionen die auf den Netzwerk-Layer oder auf die Cloud setzen noch nicht aktiv sein können, um gegen den Angriff zu schützen.

Noch teuflischer ist, dass DarkHotel eine eingebaute Zeitverzögerung besitzt: Teilweise kann es bis zu einem halben Jahr dauern, bis die Malware aktiv wird.

Hotel-WLANs sind nicht sicher

Die Angriffsmethoden zeigen: Selbst wenn Hotel-WLANs eine Passwort oder Zugangsdaten benötigen, sind sie alles andere als sicher. Denn anders als bei Unternehmensnetzwerken ist völlig unklar, wie gut das IT-Team des Hotels ist und wie sicher die Netzwerke sind.

Klar, es ist kaum vermeidbar, dass man sich unterwegs in fremde Netzwerke einwählt um E-Mails zu checken oder neue Präsentationen herunterzuladen. Allerdings sollte man dabei alle Schotten dichtmachen. Wer vom schlimmsten ausgeht, der wehrt nicht nur die ausgefeilten Attacken ab, sondern schützt sich auch vor weniger versierten Angriffen und Script-Kiddies die ihre Angriffs-Tools in öffentlichen WLANs ausprobieren.

Daher gehören auf jeden Computer Abwehrsysteme, die nicht nur auf die Cloud angewiesen sind. Zudem sollten Datenübertragungen wo immer möglich über gesicherte VPN-Verbindungen ablaufen – das gilt selbst für private Zugriffe aufs Web. Wahrscheinlich büßt man dafür etwas Komfort ein. Aber egal ob es sich um wichtige Unternehmensdaten oder private Informationen handelt, wer seine Daten vor Angreifern schützen will, muss außerhalb der eigenen Netzwerke besondere Vorsicht walten lassen.

Jarno Niemelä hat aber auch gute Nachrichten:

Aktuelle Sicherheitslösungen erlauben es Unternehmen, die Systeme auch ohne aktive Internetverbindung zu schützen und etwa das Ausführen unbekannter Java- oder Exe-Dateien zu verbieten. So lässt sich sicherstellen, dass infizierte Rechner die Malware nicht im eigenen Unternehmensnetzwerk weiterverbreiten.

 

Original photo by Blondinrikard Fröberg


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s