Siber saldırılar her geçen gün gelişiyor. Öyle ki, bir bakıyorsunuz enerji tesisleri hedefleniyor, bir bakıyorsunuz Ukrayna ile ilgili diplomatik bilgilere yöneliyor. Ama bireyleri hedefleyen pek çok saldırı cinsi de ortaya çıkıyor. Bunlardan birisinin pahalı otellerin Wi-Fi kullanan müşterilerini hedeflediği ortaya çıktı.
Saldırının tarzı da korkutucu çünkü son derece basit ve anlaşılamaz şekilde; mesela bir “Adobe güncelleme” pop-up penceresi ile yükleniyor. Genellikle sıfırıncı gün açıkları ve kernel-mode klavye takip edici ile kurbanın makinasından bilgi çalınıyor.
Saldırganların önce hotellerin sunucularına sızdığı ve orada gelecek olan müşterileri beklediği belirtiliyor. Saldırı sonrasında ise kod kendisini sunucudan siliyormuş.
Olayı Asya’da ismi belirtilmeyen bir otelde kalan bir müşterinin uğradığı saldırı sonrasında Kaspersky Lab analistleri ve otelin Wi-Fi networkünü yöneten firma birlikte keşfetmişler.
Kaspersky’ye göre “DarkHotel” ismi verilen saldırganlar 7 yıldır aktif, P2P networkler üzerinden ve belli müşterileri hedefleyen saldırılar yapıyorlar. Bu grubu diğer güvenlik firmalarının da keşfettikleri ve Tapaoux olarak adlandırdıkları belirtiliyor. Saldırılarını çok karmaşık ve yüksek tekniklerle yaptıkları ve kurbanlarını tuzağa düşüren pek çok yol kullandıkları raporlanıyor ve otel saldırısı en son keşfedilen saldırı türü.
Hedeflenen kurbanların en çok Japonya, Kuzey Kore ve Hindistan’dan olduğu belirtilirken, bu ülkelerin Asya’daki nükleer teknolojiye sahip ülkeler olduğuna dikkat çekiliyor. Yanısıra ABD ve diğer ülkelerden savunma sektörüne yönelik yöneticiler ile ekonomik gelişme ve yatırımla ilgili yöneticiler de hedeflenmiş. Özelde ise, Asya’dan bir medya yöneticisi ile ABD’den hükümet ve sivil toplum örgütlerinden bazı yöneticiler olduğu örnekleniyor.
Kaspersky olayı, müşterilerinden birisine bulaşan kod ile ocak ayında farkedip ve sonra olayı Asya’daki bir kaç otelin networklerinde takip etmeye devam etmiş. Bu amaçla şirket yöneticileri aynı hotellerde kalmış ama onlara bir şey olmamış çünkü sadece hedeflenen kişilere saldırı yapılmış. Bu noktada dikkati çeken husus, bu otellerin hepsinin aynı Wi-Fi servisi veren firmayı kullanmaları olmuş.
Sunuculara nasıl sızdıkları henüz tespit edilememiş durumda. Tespit edilen saldırıların yapıldığı otel sunucularında herhangi bir arka kapı bulunamamış. Bu nedenle ya arka kapı kullanılmıyor ya da çok başarılı bir şekilde arka kapılar yok ediliyor deniliyor. Bu nedenle de, bunu yapmaları için içerde birilerinin yardımcı olabileceği düşünülüyor.
Bazı otellerde sadece bir kaç kişi hedeflenmiş ama bir delegasyonun hedeflendiği saldırılar da tespit edilmiş. Misafirler otelde genellikle so adları ve oda numaraları ile sisteme giriş yapıyorlar. Ancak hem Kaspersky firmasının, hem de Wi-Fi hizmeti veren firmanın bu bilgilere ulaşamadığı, Kaspersky’ye bilginin ise müşteri sistemlerinden isimsiz olarak ulaştığı belirtiliyor.
Hacklenen otel sayısının da süratle arttığı belirtiliyor ama kaç otelin saldırıya uğradığı bilinmiyor. Bunların çoğunluğu Asya’da ama bir kaç ABD otelinden de bahsediliyor. Ancak otellerin isimleri açıklanmadı.
Seyahat eden ve bu arada otellerin Wi-Fi sistemlerini kullanmak zorunda kalan kişilere korunmaları için verilen tavsiye; bir otelde kalırken, herhangi bir güncelleme yapmamaları ya da güncellemenin ne olduğunu kontrol etmeleri şeklinde. Bu amaçla ilgili firmanın web sitesinden yeni bir güncelleme olup olmadığına bakılabilir. Eğer varsa da güncelleme oradan yapılabilir.
