DarkHotel: una campaña de espionaje en hoteles de lujo asiáticos

El ciberespionaje es el arma por excelencia del siglo 21.

El ciberespionaje es el arma por excelencia del siglo XXI. Hasta una inocente aplicación de móvil es capaz de encontrar secretos que aquellos usuarios descuidados pueden revelar, dejando de lado las campañas de vigilancia específicamente dirigidas a los representantes de grandes empresas y organizaciones gubernamentales. 

La revelación más reciente de este otoño es el descubrimiento por Kaspersky Lab de una red de  espionaje bautizada como Darkhotel, que ha estado activa durante 7 años en un gran número de hoteles asiáticos. Por otro lado, los inteligentes y profesionales espías envueltos en esta larga operación han creado un kit de herramientas completo que se compone de diversos métodos que pueden usarse para forzar el ordenador de la víctima.

El FBI mencionó por primera vez los ataques hacia los huéspedes de esos hoteles hacia el año 2012. Sin embargo, el malware utilizado en el transcurso de la actividad del Darkhotel (también conocido como Tapaoux) ha ido apareciendo aquí y allí desde el 2007. Después de haber estudiado los logaritmos de los servidores de C&C (Comando y Control) utilizados para gestionar la campaña, los investigadores de seguridad han descubierto que las conexiones se remontan al 1 de enero de 2009. Teniendo esto en cuenta, la campaña parece estar activa desde hace ya un tiempo.


El método principal para infiltrarse al ordenador de la víctima era a través de la red Wi-Fi en un gran número de hoteles de lujo. Los cibercriminales utilizaron exploits de día cero en Adobe Flash y otros productos populares de proveedores de renombre. Tales vulnerabilidades no son fáciles de encontrar, lo que demuestra que, o bien cualquier patrocinador rico que pueda permitirse el lujo de comprarse un arma cibernética cara, podría estar detrás de la operación, o  los agentes involucrados en esta campaña tienen un alto nivel de profesionalidad. Probablemente las dos cosas. 

DH2 El método antes mencionado de abandonar el spyware ha sido el más utilizado, aunque no el único método que utilizan los criminales para sus operaciones, lo que sugiere que eran empleados de los hoteles. La alternativa consiste en un Troyano distribuido a través de clientes torrent como parte de un archivo comprometido de comics para adultos en chino.

Los ciberespías también utilizaron el phishing dirigido, enviando emails comprometidos a los empleados de organizaciones estatales y sin ánimo de lucro.

Los criminales utilizaron una clave sofisticada. El spyware empleó un módulo integrado para robar contraseñas guardadas en navegadores populares.

Son muchos los factores, además del  uso de vulnerabilidades de día cero, que demuestran el alto nivel de conciencia de los cibercriminales involucrados. Llegaron tan lejos como para lograr con éxito  la creación de  certificados de seguridad digitales que utilizaron para el malware. Para espiar los canales de comunicación utilizados por sus víctimas, los criminales utilizaron claves sofisticadas. El spyware empleó un módulo integrado para robar contraseñas guardadas en navegadores populares.

Curiosamente, los culpables fueron extremadamente cautelosos y diseñaron una serie de medidas para prevenir la detección de malware. Primero, se aseguraron de que el virus tuviese un largo periodo de incubación: la primera vez que el Troyano se conectó a los servidores de C&C fue 180 días después de haberse infiltrado en los sistemas. En segundo lugar, el programa de spyware tenía un protocolo de autodestrucción si el idioma del sistema se cambiaba a coreano.

DH3 Los criminales estaban operando principalmente en Japón, así como también en Taiwán y China. Sin embargo, Kaspersky Lab consiguió detectar ataques en otros países, incluyendo algunos bastante lejos de los territorios de interés para los acusados.

Kurt Baumgartner, el Investigador de Seguridad Principal de Kaspersky Lab, señaló sobre Darkhotel: “Durante los últimos años, un fuerte actor llamado Darkhotel, ha llevado a cabo un gran número de ataques con éxito contra individuos de perfil alto, empleando métodos y técnicas que van más allá del típico comportamiento cibercriminal. Este actor amenazante tiene competencia operacional, matemática y capacidades cripto-analíticas ofensivas, así como otros recursos que son suficientes para abusar de las redes comerciales de confianza y enfocarse hacia categorías específicas de víctimas con una precisión estratégica.”

En resumen, podemos decir que los productos de Kaspersky Lab, detectan y neutralizan los programas maliciosos y sus variantes utilizadas por el kit de herramientas de Darkhotel. Puedes leer la historia completa de Darkhotel APT en Securelist.com

Consejos