Hacker nutzen WannaCry-Exploit für Angriffe auf Hotel-WLANs

von Stefan Beiersmann am , 09:07 Uhr

Dahinter steckt angeblich eine als APT28 oder Fancy Bear bekannte Gruppe. Sie hat es auf Anmeldedaten von Hotelgästen abgesehen. Die Hacker kompromittieren das WLAN-Netz eines Hotels und fangen die darüber übertragenen Login-Daten der Gäste ab, um deren Konten zu übernehmen.

Forscher von FireEye haben eine Hacking-Kampagne aufgedeckt [1], bei der versucht wird, aus der Ferne Anmeldedaten von Nutzern zu stehlen, die WLAN-Netzwerke in Hotels verwenden. Dabei kommt der Windows-Exploit zum Einsatz, den Hacker auch für die Verbreitung der Ransomware WannaCry [2] sowie Petya/NotPetya [3] benutzt haben. Betroffen sind derzeit vor allem Hotels in Europa.

WLAN (Bild: Shutterstock/wwwebmeister) [4]Als Hintermänner vermutet FireEye mit „mäßiger Zuversicht“ eine als APT28 oder auch „Fancy Bear“ bekannte Gruppe, der Verbindungen zum russischen Militärgeheimdienst unterstellt werden. Es sei das erste Mal, dass die Gruppe den als Eternal Blue [5] bezeichneten Exploit eingesetzt habe, der aus dem Fundus des US-Geheimdiensts National Security Agency (NSA) stammen soll und von der Hackergruppe The Shadow Brokers veröffentlicht wurde [6].

Der Angriff selbst begann mit einer Spear-Phishing-Kampagne auf Hotelketten in mindestens sieben europäischen Ländern sowie einem Land im Nahen Osten. E-Mails mit einem schädlichen Dokument mit dem Titel „Hotel_Reservation_form.doc“ soll Mitarbeiter der Unternehmen dazu verleiten, ein Makro auszuführen, das wiederum die für APT28 typische Malware GameFish einschleust.

Sobald GameFish in einem Netzwerk installiert wurde, nutzt es EternalBlue, um sich im Netzwerk zu verbreiten und Computer zu finden, die für die Verwaltung der internen sowie Gast-WLAN-Netze verantwortlich sind. Sobald diese Rechner unter Kontrolle sind, richtet GameFish ein Open-Source-Tool ein, das den Diebstahl von Anmeldedaten über ein drahtloses Netzwerk erlaubt.

HIGHLIGHT

Sicherheitsrisiken in öffentlichen WLANs vermeiden – auch im Urlaub [7]

Mit einigen Schritten und kostenlosen Tools können sich auch Profis vor Angriffen aus unsicheren WLANs schützen und Notebook, Smartphone und Tablets schützen. Es lohnt sich auch unterwegs effizient zu schützen, um Datenverlust und Angriffe zu vermeiden.

Auch wenn sich die Angriffe jeweils gegen das vollständige Netzwerk eines Hotels richten, geht FireEye davon aus, dass es die Täter auf einzelne Gäste abgesehen haben, beispielsweise auf Geschäftsleute oder Regierungsvertreter, die in den Hotels absteigen. In mindestens einem Fall will FireEye Belege dafür gefunden haben, dass sich die Angreifer sogar in der Nähe ihres Opfers und im selben WLAN-Netz befanden, als sie dessen Rechner kompromittierten. Die Forscher weisen darauf hin, dass der Einsatz einer Anmeldung in zwei Schritten die Übernahme von Nutzerkonten nach dem Diebstahl der Anmeldedaten deutlich erschwert.

Es ist nicht das erste Mal, dass Hacker Hotelgäste ins Visier nehmen. Bereits im Juli hatten Forscher von Bitdefender auf eine ähnliche Kampagne hingewiesen [8]. Sie ordneten diese Aktivitäten in die seit Jahren bekannte, DarkHotel [9] gennanten, den APT28 zugeordneten und recht gut untersuchten Aktivitäten gegen Hotelgäste ein. Laut FireEye gibt es jedoch keine Verbindungen zwischen beiden Vorfällen. Auch technisch seien die Angriffe unterschiedlich. Denn die Hintermänner von DarkHotel hätten ihre Opfer mit gefälschten Softwareupdates ausgetrickst.

FireEye betont zudem, dass öffentliche WLAN-Netze eine erhebliche Bedrohung darstellen können. Sie seien „wann immer möglich zu meiden“.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen? [10]

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Danny Palmer, ZDNet.com [11]]

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/88307797/hacker-nutzen-wannacry-exploit-fuer-angriffe-auf-hotel-wlans/

URLs in this post:

[1] haben eine Hacking-Kampagne aufgedeckt: http://www.zdnet.com/article/the-hackers-never-went-away-brace-for-more-state-backed-attacks-leaks-and-copycats-this-year/

[2] WannaCry: http://www.zdnet.de/88296865/wannacry-und-die-sache-mit-den-updates/

[3] Petya/NotPetya: http://www.zdnet.de/88302647/massiver-hackerangriff-trifft-unternehmen-weltweit/

[4] Image: http://www.zdnet.de/wp-content/uploads/2017/06/wlan-wireless-funk-shutterstock-wwwebmeister-1200.jpg

[5] Eternal Blue: http://www.zdnet.de/88297059/nsa-exploits-wurden-schon-vor-wannacry-genutzt/

[6] veröffentlicht wurde: http://www.zdnet.de/88292535/shadow-brokers-veroeffentlichen-windows-hacking-tools-der-nsa/

[7] Sicherheitsrisiken in öffentlichen WLANs vermeiden – auch im Urlaub: http://www.zdnet.de/88274641/sicherheitsrisiken-in-oeffentlichen-wlans-vermeiden-auch-im-urlaub/

[8] auf eine ähnliche Kampagne hingewiesen: https://labs.bitdefender.com/2017/07/inexsmar-an-unusual-darkhotel-campaign/

[9] DarkHotel: http://www.silicon.de/41605553/geschaeftsleute-luxushotels-gezielt-ausgespaeht/

[10] Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?: http://smart.kyoceradocumentsolutions.de/e-books/von-artikelnummer-bis-zustellung-so-verbessern-sie-mit-dms-ihre-logistikprozesse-von-a-bis-z/?utm_source=netmediaeurope&utm_medium=display&utm_content=text-picture&utm_campaign=cf

[11] ZDNet.com: http://www.zdnet.com/article/hackers-are-now-using-the-exploit-behind-wannacry-to-snoop-on-hotel-wi-fi/