APT 28借NSA工具攻击欧洲中东酒店

▌作者：Catalin Cimpanu

▌翻译：360代码卫士团队

前言

这厢，美国政府在耗费数百万美元开发出各种黑客工具后；那厢，俄罗斯黑客组织就利用它们攻击位于欧洲和中东的酒店。

美国网络安全企业火眼公司发布报告称，著名的俄罗斯网络监控组织APT28已利用“永恒之蓝”实施攻击。

APT 28利用鱼叉式钓鱼活动攻击酒店

APT 28 也被称为”Fancy Bear”、 “Sofacy”、 “Sednit” 、 “Tsar Team”、 “Pawn Storm” 或 “Srontium”）在网络安全圈可谓臭名昭著，曾被指攻击美国民主党国名委员会、北约和德国联邦议院。很多人认为它跟俄罗斯军事情报服务机构格鲁乌有关联。

研究人员指出，APT28 利用鱼叉式钓鱼攻击将虚假的酒店预定条目作为Word文档传播到酒店和酒店业的其它实体。允许文档执行内置宏的目标计算机遭受APT28工具GAMEFISH恶意软件的感染。

利用“永恒之蓝”和Responder将恶意软件传播到本地网络

黑客随后会使用这款恶意软件下载并运行“永恒之蓝”和开源的Responder工具。这两种工具均有利于黑客攻击其它本地酒店IT系统。“永恒之蓝”能让黑客通过不安全的SMB服务传播，而Responder利用NetBIOS命名服务 (NBT-NS) 投毒来实现同样目的。

火眼在一份名为《APT28攻击酒店行业 威胁旅客安全》的报告（https://www.fireeye.com/blog/threat-research/2017/08/apt28-targets-hospitality-sector.html）中指出，“APT28利用这种方法窃取用户名和哈希密码，从而在受害者网络升级权限”。

酒店WiFi网络成国家黑客眼中的“香饽饽”

安全专家表示，黑客尤其对控制酒店的guestWiFi网络感兴趣。其背后的原因就是黑客能利用酒店的WiFi网络实施中间人攻击，从而推送恶意软件或拦截目标guest的流量。

这是APT28首次使用“永恒之蓝”发动攻击，但并非APT28首次针对酒店发动的攻击。2016年也发生了类似事件。受害者在连接到一个酒店WiFi网络后遭攻陷。距受害者首次连接到公共WiFi网络的12小时后，APT 28通过被盗凭证登录到机器。这12个小时可用于在脱机状态下破解哈希密码。成功访问机器后，攻击者将工具部署到机器上，随后通过受害者网络进行传播，并访问受害者的OWA账户。登录源自同一子网的计算机上，说明攻击者的机器物理接近受害者并位于相同的WiFi网络。我们无法证实首个凭证是如何在2016年的事件中被盗的，但在入侵过程中Responder得到部署。由于Responder工具能让攻击者从网络流量中嗅探密码，因此被盗凭证可能是Responder通过酒店WiFi网络获取的。

APT 28并非首个针对WiFi网络的网络监控组织。DarkHotel组织才是首个执行此类攻击的组织，这一点从该组织的命名就可看出。DarkHotel在2011年至2016年一直实施此类攻击。另外，Duqu组织在2015年利用相同技术监控参加伊朗核谈判交易的在酒店住宿的参加人员。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。