Хакеры получали контроль над гостиничными сетями Wi-Fi с помощью эксплоита EternalBlue.
По данным исследователей компании FireEye, киберпреступная группировка APT 28 (также известна как Fancy Bear) следила за высокопоставленными лицами, останавливавшимися в гостиницах средневосточных и европейских стран. Интересно, что хакеры, связываемые многими экспертами с российскими спецслужбами, использовали для слежки инструмент EternalBlue из арсенала Агентства национальной безопасности США. Напомним, EternalBlue был выложен в открытый доступ группировкой Shadow Brokers в апреле текущего года.
Киберпреступники атаковали ничего не подозревавших пользователей путем взлома гостиничных сетей Wi-Fi. Для быстрого распространения контроля над сетями злоумышленники использовали эксплоит EternalBlue.
Атаки начинались с рассылки вредоносных фишинговых писем (подобные письма были разосланы персоналу отелей как минимум в семи странах Европы и одной стране Среднего Востока). Сообщения содержали документ, после открытия которого на систему загружалось вредоносное ПО Gamefish. Доподлинно неизвестно, кто именно стоит за атаками, однако данный инструмент часто использует группировка APT 28, что и натолкнуло исследователей на мысль о ее причастности к инцидентам.
После установки Gamefish получал команды найти и заразить оборудование, управляющее внутренней и гостевой сетями Wi-Fi, с целью дальнейших атак на конкретных пользователей. Для похищения учетных данных жертв из гостиничной беспроводной сети хакеры использовали уникальную, до сих пор не встречавшуюся технику, позволяющую похитить логины и пароли даже без необходимости заставить жертву вводить их.
