كشفت فاير آي FireEye، الشركة المتخصصة في مجال حلول الأمن الإلكتروني القائم على استخبارات التهديدات، حديثاً عن انتشار حملة خبيثة تعزى، إلى حد معقول من الثقة، إلى عصابة APT28، التي تستهدف قطاع الضيافة.
وكشفت الشركة عن وجود مستند خبيث كان استخدم لاستهداف شركات متعددة في قطاع الضيافة، بما في ذلك فنادق تقع في ما لا يقل عن سبعة بلدان أوروبية وبلد واحد في الشرق الأوسط.
وفي إطار شن هذه الهجمات، تستخدم عصابة APT28 تقنيات استهداف استثنائية في حملتها، مثل سرقة كلمات المرور من البيانات المتدفقة عبر شبكات الاتصال بالإنترنت "واي فاي" وحجب خدمة NetBIOS Name Service، ومن ثم الانتشار بشكل واسع عن طريق ETERNALBLUE، وهي ثغرة أمنية موجودة في نظام التشغيل ويندوز من مايكروسوفت.
ويتركز نشاط التجسس الإلكتروني ضد قطاع الضيافة عادة في جمع معلومات حول أو من ضيوف الفندق المهمين وليس حول قطاع الضيافة الفندقية بحد ذاتها، مع أن جهات التهديد الفاعلة قد تقوم أيضاً بجمع معلومات عن الفندق كوسيلة لتسهيل شن هجماتها.
وفي حين أن الهدف النهائي لهذه الحملة لايزال مجهولاً، هناك مؤشرات على أن عصابة APT28 تسعى إلى اختراق بيانات المسافرين الحكوميين ورجال الأعمال من خلال الوصول عن بعد إلى شبكات "واي فاي" الفندقية الخاصة بالنزلاء.
وكثيراً ما يضطر هؤلاء المسافرون، أثناء تواجدهم في الدول الأجنبية، إلى الاعتماد على شبكات اتصال غير آمنة كما ينبغي، خلافاً للشبكة الآمنة التي اعتادوا على استخدامها في شركاتهم، أو أنهم قد لا يكونوا على دراية بالتهديدات الإضافية التي يتعرضون لها في الخارج.
ومن الممكن سرقة بيانات التعريف الشخصي عن بعد أو عن طريق أداة المهاجم التي يقع بالقرب من شبكة الاتصال "واي فاي" ذاتها، أو تكون مثبتة عليها نفسها. ويتم بعد ذلك استخدام بيانات التعريف الشخصي لاختراق الضحية عن طريق تسجيل الدخول إلى حاسب الضحية ونشر البرامج الخبيثة أو تسجيل الدخول إلى حساب Outlook Web Access. ومن خلال هذا التكتيك، يتم استخدام عامل مصادقة فردي للمستخدم من دون أي تدخل من الضحية.
24
