Darkhotel : fenêtre ouverte sur les réseaux Wi-Fi

CloudRisquesSécurité
wi-fi-darkhotel

Kaspersky Lab a mis le doigt sur une campagne d’espionnage au long cours ciblant dirigeants d’entreprises et cadres supérieurs via les réseaux sans fil des hôtels.

Nom : Darkhotel. Nature : campagne de cyber-espionnage. Cible : les dirigeants d’entreprises et les cadres supérieurs lors de leurs voyages d’affaires. Particularité : ne frappe qu’une fois chaque victime.

Ainsi les experts de Kaspersky décrivent-ils cette menace persistante (APT, pour “Advanced Persistent Threat”) qui s’appuie sur la fragilité des réseaux Wi-Fi dans les hôtels… et que des pirates exploitent depuis au moins 2007 pour dérober des informations sensibles, notamment de la propriété intellectuelle.

Darkhotel sévit surtout dans la région Asie-Pacifique : le Japon, la Chine, la Corée du Sud et la Russie concentrent 90 % des infections recensées. Sur son tableau de chasse figurent des P-DG, des directeurs ventes/marketing ou encore des responsables R&D exerçant principalement dans les secteurs de la santé, de l’électronique, des cosmétiques, de l’automobile, de la défense et du capital-investissement.

Les pirates s’introduisent d’abord dans les réseaux Wi-Fi “privés et sécurité” des hôtels, avec une préférence pour les établissement de luxe. Lorsque leur cible se connecte, il lui est proposé de télécharger une mise à jour logicielle – pour la barre d’outils Google, le plugin Adobe Flash ou Windows Messenger – qui dissimule en fait un malware de type backdoor.

Cette porte dérobée utilise plusieurs failles dans Flash pour télécharger des outils plus élaborés comme un enregistreur de frappe et un cheval de Troie destiné à collecter des informations sur le système, tout particulièrement sur les éventuelles défenses antivirus. L’arsenal déployable à distance comprend aussi un outil conçu pour récupérer les mots de passe sauvegardés dans les principaux navigateurs Web (Firefox, Chrome, Internet Explorer) et sur des services en ligne populaires (Gmail, Twitter, Facebook, Yahoo, etc.).

L’analyse approfondie du code laisse supposer que les créateurs du malware, visiblement d’origine coréenne, nettoient systématiquement toute trace de leur passage après avoir commis leur forfait. Faisant preuve de compétences mathématiques et cryptoanalytiques qui leur permettent notamment d’usurper les signatures numériques de logiciels légitimes, ils restent parfois tapis très longtemps dans l’ombre avant de relancer une attaque sur un réseau donné.

Leurs assauts ciblés s’assortissent d’opérations plus globales à partir de botnets (réseaux d’ordinateurs “zombies”) exploités dans le cadre d’une surveillance de masse et facilitant la propagation du malware entre les différentes machines connectées à un même point d’accès. A cet égard, Kaspersky Lab recommande aux utilisateurs de passer par un fournisseur de réseau privé virtuel (VPN) pour sécuriser leurs communications électroniques. Il conviendra également de considérer les mises mises à jour logicielles comme suspectes en situation de déplacement et de vérifier que le programme d’update est signé par l’éditeur approprié.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?

Crédit illustration : nobeastsofierce – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur