Nå advares det om bruk av hotellets enge nettverk. Gjester på hoteller og andre overnattingssteder bes om å være ekstra forsiktige ved innlogging på hotellnettverk, spesielt utenlands.
I går 14. august skrev Telenor at Den russisktalende hackergruppen APT28 i følge forskere, skal ha lurt gjester ved hoteller i Europa og Midtøsten til å laste ned skjemaer som likner på hotellenes egne skjemaer. Disse filene installerer skadevaren Gamefish som igjen sprer seg videre over nettet ved hjelp av svakheten i SMB-protokollen brukt i NSA sitt EternalBlue-verktøy. Målet for angrepene skal ha vært forretningsfolk og politikere. Telenor anbefaler på et generelt grunnlag at man unngår å bruke offentlige, åpne nettverk. (AO Kaspersky Lab/Threatpost.com)
I dag har digi.no en artikkel som beskriver problemstillingen og som gir gode veiledninger på hvordan man kan ta hånd om slike angrep. De advarer og ber gjester på hoteller og andre overnattingssteder om å være ekstra forsiktige ved innlogging på hotellnettverk, spesielt utenlands. Sikkerhetsselskapet FireEye skriver at hotellene har blitt utsatt for rettede phishingangrep hvor de har fått tilsendt et hotellreservasjonsskjema som inneholder en makro som skjuler skadevaren Gamefish. En kombinasjon av verktøy skal ha blitt benyttet av APT28 til å bruke nye teknikker for å spre skadevaren utover i lokalnettet til overnattingsstedene, slik at APT28 har kunnet få kontroll over datamaskinene i nettet som kontrollerer de trådløse nettverkene til virksomhetene, både gjestenettverk og nettverk for intern bruk.
I følge digi.no antas det primære formålet med dette angrepet å være og stjele informasjon fra overnattingsgjestene og ikke fra selve overnattingsstedene. Mange gjester benytter hotellets ofte gratis WiFi-tilbud, noe som innebærer at pc-en er tilknyttet det samme lokale nettverket som andre gjester og som også ansatte og uvedkommende med ondsinnede hensikter kan ha tilgang til. FireEye fremmer at de ikke kjenner til at noen gjester faktisk har blitt frastjålet innloggingsinformasjon i forbindelse med dette nyeste angrepet, men omtaler et lignende tilfelle fra 2016 hvor innloggingsinformasjon ble stjålet i et angrep hvor den samme Responder-programvaren ble benyttet. Innloggingsinformasjonen som ble stjålet, ble brukt i et innbrudd omtrent tolv timer etter at pc-brukeren hadde logget seg på et hotellnettverk.
Digi.no har beskrevet hvordan du kan forhindre denne typen angrep. Les mer om det her…
Vi i NorSIS stiller oss bak rådene digi.no gir gjennom sin artikkel. Vi mener det er viktig å ta sikkerhetstruslene man står ovenfor når man er utenfor kontoret og jobber på alvor. På kontoret er nettverket sikret, du kan stole på dine medarbeidere og datautstyr står rimelig trygt plassert. Andre steder må man være mer på vakt for å beskytte både utstyr og informasjon. På nettvett.no kan du lese om sikkerhetstruslene og hva du kan gjøre for å sikre deg mot dem. Les mer her…
Kilder:
FireEye.com – APT28 Targets Hospitality Sector, Presents Threat to Travelers
Digi.no – Hackergruppe utnytter NSA-verktøy til å stjele windowspassordene til hotellgjester
AO Kaspersky Lab/Threatpost.com – APT28 USING ETERNALBLUE TO ATTACK HOTELS IN EUROPE, MIDDLE EAST