Spionageangriffe auf prominente Industrie-Manager und Führungskräfte aus der Forschung, die sich im Luxushotel in das dortige Wlan mit ihren Computern einwählten: Ein solches Szenario stammt aus keinem Wirtschaftskrimi, sondern trug sich seit mindestens vier Jahren in Asien zu. Wie der russische Antivirenhersteller Kaspersky kürzlich berichtete, haben seine Experten die sogenannte „Darkhotel-Kampagne“ enttarnt. Die Hintermänner von Darkhotel sind unbekannt, besitzen aber Methoden und Techniken des Ausspähens von Daten, die weit über das Repertoire der klassischen Cyberkriminalität hinausgehen. Opfer sind vor allem Manager aus den USA und Asien, aber auch Führungskräfte in deutschen Unternehmen gehören zum Kreis der Ausspionierten, wenn sie im asiatisch-pazifischen Raum auf Geschäftsreisen waren.
Wenn sich ein Opfer nach dem Hotel-Check-in mit dem Hotel-Wlan verbindet und seine Zimmernummer sowie seinen Nachnamen in die Login-Maske eingibt, werden die Angreifer des kompromittierten drahtlosen Netzwerks aktiv. Sie verleiten das anvisierte Opfer dazu, ein Backdoor-Programm herunterzuladen und zu installieren, das sich als Update für eine Standardsoftware wie Google Toolbar, Adobe Flash oder Windows Messenger ausgibt. Tatsächlich infiziert der ahnungslose Manager seinen eigenen Rechner mit der Darkhotel-Spionagesoftware.
Ist das Backdoor-Programm auf einem System installiert, können damit weitere fortschrittliche Diebstahl-Werkzeuge auf den infizierten Rechner geladen werden, dazu zählen ein hochentwickelter digital signierter Keylogger, der Trojaner „Karba“ sowie ein Informationen stehlendes Modul. Diese Tools sammeln Daten über das System und die darauf installierte Antivirensoftware, lesen alle Tastaturanschläge mit und suchen nach in Firefox, Chrome sowie im Internet Explorer gespeicherten Passwörtern, ebenso wie nach Zugangsdaten für Gmail Notifier, Twitter, Facebook, Yahoo! und Google sowie weiteren privaten Daten.
Die Folge: Der Abfluss sensibler Informationen wie das geistige Eigentum der vom Opfer repräsentierten Geschäftseinheit. Nach der Operation „reinigen“ die Angreifer das Hotelnetzwerk sorgfältig von ihren Werkzeugen und verbergen sich wieder im Hintergrund.
Kaspersky rät vor allem Geschäftsreisenden, jedem Netzwerk zu misstrauen, möglichst keine Software-Updates in einem öffentlichen oder halbprivaten Hotspot durchzuführen und außerhalb des eigenen Netzwerks ausschließlich über VPN (Virtual Private Networks) verschlüsselt ins Internet zu gehen. Die Ratschläge sollten übrigens auch private Nutzer beherzigen, denn schließlich gehören Login-Daten zu Shops oder sonstigen Diensten auch auf privaten Rechnern nicht in falsche Hände.
Bildquelle: Kaspersky
