Buzz
Những du khách sởn về mức độ đảm bảo phù hợp luôn luôn cảnh báo về Wi-Fi của khách sạn. Bây giờ họ có một lý do mới để chứng minh nỗi sợ hãi về mạng không dây: Một chiến dịch gián điệp của Nga đã sử dụng những mạng Wi-Fi đó để gián điệp đối với những khách sạn có giá trị cao, và gần đây họ đã bắt đầu sử dụng một công cụ hacking NSA rò rỉ để nâng cấp các cuộc tấn công của họ.
Từ ít nhất từ mùa thu năm ngoái, nhóm hacker Nga được biết đến với tên APT28, hoặc Fancy Bear, đã nhắm vào các nạn nhân thông qua kết nối của họ với các mạng Wi-Fi của khách sạn bị tấn công, theo một báo cáo mới từ công ty an ninh FireEye, mà đã theo dõi chặt chẽ các xâm nhập của nhóm, bao gồm việc xâm nhập vào Ban Điều hành Quốc gia Dân chủ trước cuộc bầu cử năm ngoái. Tháng trước, FireEye nói những hacker đó, tin rằng liên quan đến dịch vụ tình báo quân sự Nga GRU, đã bắt đầu sử dụng EternalBlue, công cụ hacking NSA rò rỉ, như một kỹ thuật để mở rộng sự kiểm soát của họ đối với các mạng khách sạn sau khi đã có một điểm đầu tiên thông qua lừa đảo hoặc các kỹ thuật khác. Đáng lo ngại, khi những hacker đó kiểm soát Wi-Fi của khách sạn, họ đang sử dụng quyền truy cập đó để lặng lẽ thu thập tên người dùng và mật khẩu máy tính của nạn nhân, với một thủ thuật không đòi hỏi người dùng phải nhập chúng khi đăng nhập vào mạng của khách sạn.
“Điều này chắc chắn là một kỹ thuật mới" của nhóm hacker Fancy Bear nổi tiếng, theo Ben Read, người dẫn dắt nhóm nghiên cứu gián điệp của FireEye. “Đây là một cách thu thập thông tin tích cực hơn nhiều về con người. Bạn chỉ cần ngồi đó và thu giữ thông tin từ lưu lượng Wi-Fi.”
Kiểm Tra
FireEye nói rằng họ lần đầu tiên nhận thức được bằng chứng cho thấy Fancy Bear có thể đang nhắm vào các khách sạn vào mùa thu năm ngoái, khi công ty phân tích một cuộc xâm nhập bắt đầu từ máy tính của một nhân viên doanh nghiệp. Công ty đã theo dõi xâm nhập đó đến việc sử dụng mạng Wi-Fi của khách sạn khi người đó đang đi du lịch; 12 giờ sau khi người đó đã kết nối vào mạng đó, một người khác đã sử dụng các thông tin đăng nhập của nạn nhân để đăng nhập vào máy tính của họ, cài đặt phần mềm độc hại và truy cập dữ liệu Outlook của họ. Điều đó ngụ ý, FireEye nói, là một hacker đã ngồi trên cùng mạng của khách sạn đó, có thể đang ngửi thông tin để chặn thông tin đăng nhập của nạn nhân.
Sau đó, chỉ tháng trước, FireEye biết đến một loạt các cuộc tấn công Wi-Fi tương tự tại các khách sạn trên bảy thủ đô châu Âu và một thủ đô Trung Đông. Trong mỗi trường hợp, hacker đã xâm nhập vào mạng của khách sạn mục tiêu—FireEye tin rằng thông qua chiến thuật phổ biến của email lừa đảo chứa đính kèm có Microsoft Word macros độc hại. Sau đó, họ sử dụng quyền truy cập đó để khởi chạy công cụ hacking của NSA là EternalBlue, rò rỉ vào đầu năm nay trong bộ dữ liệu nội bộ của NSA bởi các hacker được biết đến với cái tên ShadowBrokers, điều này cho phép họ nhanh chóng lan truyền kiểm soát qua các mạng của khách sạn thông qua lỗ hổng trong giao thức "server message block" của Microsoft, cho đến khi họ đạt được máy chủ quản lý mạng Wi-Fi doanh nghiệp và khách sạn.
Từ đó, các tấn công sử dụng một công cụ hacking mạng được gọi là Responder, cho phép họ không chỉ theo dõi lưu lượng trên các mạng bị chiếm đó, mà còn đánh lừa máy tính kết nối vào chúng để thu được thông tin đăng nhập của người dùng mà không để nạn nhân có bất kỳ dấu hiệu nào về sự mất mát. Khi máy tính nạn nhân liên lạc với các dịch vụ đã biết như máy in hoặc thư mục chia sẻ, Responder có thể mạo danh những thực thể thân thiện đó với một quy trình xác thực giả mạo, đánh lừa máy tính nạn nhân để truyền tải tên người dùng và mật khẩu mạng của mình. Và trong khi mật khẩu được gửi dưới dạng băm mật mã, thì băm đó đôi khi có thể bị crack. (FireEye tin rằng, ví dụ, các hacker đã sử dụng Responder để đánh cắp mật khẩu của khách sạn trong vụ án năm 2016; việc chậm 12 giờ có thể là thời gian mà nó mất để crack băm đó.)
Trong mỗi trường hợp, FireEye nói rằng các mạng đã bị hack là của những khách sạn có độ sang trọng cao, loại hình khách sạn thu hút những mục tiêu có giá trị giả định. "Đây không phải là những nơi siêu đắt tiền, nhưng cũng không phải là Holiday Inn," Read của FireEye nói. "Chúng là loại khách sạn mà một khách thăm có uy tín sẽ ở khi họ đi công tác hoặc kinh doanh ngoại giao."
Nhưng FireEye nói rằng họ không biết liệu những hacker có khách đặc biệt nào trong tâm trí, hay đơn giản chỉ là đang tung mạng rộng để tìm nạn nhân tiềm năng. "Có lẽ điều này được thiết kế chỉ để lấy chân đặt và xem ai xuất hiện, hoặc có lẽ họ chỉ đang thử nghiệm một cái gì đó," Read nói. Ngoại trừ nạn nhân mà họ phân tích vào năm ngoái, các nhà phân tích của công ty không thể xác nhận bất kỳ nạn nhân cụ thể nào mà thông tin đăng nhập của họ đã bị đánh cắp từ các khách sạn mục tiêu.
Cơ Bản của Bear
FireEye nói rằng họ có "độ tin cậy trung bình" vào kết luận của mình rằng Fancy Bear thực hiện cả cuộc tấn công khách sạn năm 2016 và chuỗi tấn công gần đây hơn. Họ dựa vào việc sử dụng hai phần mềm độc hại liên quan đến Fancy Bear, được biết đến với tên gọi GameFish và XTunnel, được cài đặt trên máy tính của khách sạn và nạn nhân. Công ty cũng chỉ ra những dấu hiệu trong cơ sở hạ tầng điều khiển và điều khiển của phần mềm độc hại đó và thông tin về các nạn nhân, mà họ không công bố.
Nếu Fancy Bear thực sự đứng sau chuỗi sự kiện gián điệp khách sạn, FireEye lưu ý rằng việc nhóm sử dụng EternalBlue sẽ đại diện cho lần đầu tiên công khai xác nhận rằng hacker Nga đã sử dụng một trong những kỹ thuật hacking của NSA đã rò rỉ trong scandal của ShadowBrokers. Nhưng chính phủ Ukraine đã đổ lỗi cho Nga về việc tạo ra phần mềm độc hại NotPetya, sử dụng EternalBlue để lan truyền trong các mạng của nạn nhân khi nó làm hỏng hàng nghìn công ty vào mùa hè năm nay. (Công ty an ninh ESET cũng liên kết NotPetya với một nhóm hacker có tên là TeleBots hoặc Sandworm, mà FireEye liên kết với Nga.) EternalBlue cũng đã giúp kích thích các đợt dịch bệnh hacking khác từ ransomware WannaCry đến phần mềm đào tiền điện tử. Sự lan truyền của một công cụ hacking NSA mạnh mẽ và im lặng đã gây ra tranh cãi đối với cơ quan này và kiểm tra về kho ki thuật xâm nhập máy tính bí mật của nó, mặc dù NSA đã giúp Microsoft phát tán một bản vá cho lỗ hổng mà EternalBlue lợi dụng cách đây vài tháng trước khi nó được sử dụng trong chiến dịch WannaCry.
Chiến dịch hack khách sạn của Fancy Bear cũng sẽ đại diện cho một sự tiến triển mới của các kỹ thuật xâm nhập của nhóm, từ việc tiến hành các chiến dịch gián điệp âm thầm đến các hoạt động ồn ào, gây quậy phá, như cuộc tấn công phá hủy dữ liệu trên đài truyền hình Pháp TV5Monde, hoặc những rò rỉ từ DNC và chiến dịch của Clinton năm ngoái.
Nhưng nói chung, các hacker tinh vi xâm nhập vào khách sạn để gián điệp đã xảy ra trước đây. Một chiến dịch tương tự được biết đến với tên DarkHotel, được cho là công việc của các điệp viên mạng Bắc Hàn, đã trở nên nổi bật vào năm 2014. Phần mềm độc hại Duqu 2.0, mà nhiều người tin là công việc của các hacker Israel, đã được phát hiện trong các mạng của các khách sạn châu Âu đang tổ chức đàm phán hạt nhân Iran vào năm sau.
Tất cả những điều này nên làm nhắc nhở rằng các mạng khách sạn không phải là nơi an toàn cho những người đi du lịch có thông tin nhạy cảm. Read của FireEye cảnh báo rằng thậm chí việc sử dụng VPN cũng có thể không ngăn chặn rò rỉ thông tin cá nhân mà Responder khai thác, mặc dù anh lưu ý rằng sự yếu đuối này có thể phụ thuộc vào phần mềm proxy mà người nào đó đang sử dụng. Nhưng cách tiếp cận an toàn nhất, đối với bất kỳ người đi du lịch nào thực sự giữ bí mật có giá trị, là mang theo điểm phát Wi-Fi của riêng bạn—và sau đó tránh sử dụng Wi-Fi của khách sạn hoàn toàn.
