{"id":4809,"date":"2014-11-10T12:19:34","date_gmt":"2014-11-10T12:19:34","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=4809"},"modified":"2020-02-26T17:26:43","modified_gmt":"2020-02-26T15:26:43","slug":"darkhotel-espionaje-en-hoteles-de-lujo-asiaticos","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/darkhotel-espionaje-en-hoteles-de-lujo-asiaticos\/4809\/","title":{"rendered":"DarkHotel: una campa\u00f1a de espionaje en hoteles de lujo asi\u00e1ticos"},"content":{"rendered":"

El ciberespionaje es el arma por excelencia del siglo XXI. Hasta una inocente aplicaci\u00f3n de m\u00f3vil es capaz de encontrar secretos<\/a> que aquellos usuarios descuidados pueden revelar, dejando de lado las campa\u00f1as de vigilancia espec\u00edficamente dirigidas a los representantes de grandes empresas y organizaciones gubernamentales.\u00a0<\/strong><\/p>\n

La revelaci\u00f3n m\u00e1s reciente de este oto\u00f1o es el descubrimiento por Kaspersky Lab de una red de \u00a0espionaje bautizada como Darkhotel, que ha estado activa durante 7 a\u00f1os en un gran n\u00famero de hoteles asi\u00e1ticos. Por otro lado, los inteligentes y profesionales esp\u00edas envueltos en esta larga operaci\u00f3n han creado un kit de herramientas completo que se compone de diversos m\u00e9todos que pueden usarse para forzar el ordenador de la v\u00edctima.<\/p>\n

El FBI mencion\u00f3 por primera vez los ataques hacia los hu\u00e9spedes de esos hoteles hacia el a\u00f1o 2012. Sin embargo, el malware utilizado en el transcurso de la actividad del Darkhotel (tambi\u00e9n conocido como Tapaoux) ha ido apareciendo aqu\u00ed y all\u00ed desde el 2007. Despu\u00e9s de haber estudiado los logaritmos de los servidores de C&C (Comando y Control) utilizados para gestionar la campa\u00f1a, los investigadores de seguridad han descubierto que las conexiones se remontan al 1 de enero de 2009. Teniendo esto en cuenta, la campa\u00f1a parece estar activa desde hace ya un tiempo.<\/p>\n

<\/p>

La campa\u00f1a #Darkhotel parece haber estado activa desde hace 7 a\u00f1os<\/p>Tweet<\/a><\/blockquote>
\n<\/strong>El m\u00e9todo principal para infiltrarse al ordenador de la v\u00edctima era a trav\u00e9s de la red Wi-Fi en un gran n\u00famero de hoteles de lujo. Los cibercriminales utilizaron exploits de d\u00eda cero en Adobe Flash y otros productos populares de proveedores de renombre. Tales vulnerabilidades no son f\u00e1ciles de encontrar, lo que demuestra que, o bien cualquier patrocinador rico que pueda permitirse el lujo de comprarse un arma cibern\u00e9tica cara<\/a>, podr\u00eda estar detr\u00e1s de la operaci\u00f3n, o \u00a0los agentes involucrados en esta campa\u00f1a tienen un alto nivel de profesionalidad. Probablemente las dos cosas.\u00a0<\/strong>\n

\"DH2\"<\/a><\/strong>\u00a0<\/strong>El m\u00e9todo antes mencionado de abandonar el spyware ha sido el m\u00e1s utilizado, aunque no el \u00fanico m\u00e9todo que utilizan los criminales para sus operaciones, lo que sugiere que eran empleados de los hoteles. La alternativa consiste en un Troyano distribuido a trav\u00e9s de clientes torrent como parte de un archivo comprometido de comics para adultos en chino.<\/p>\n

Los ciberesp\u00edas tambi\u00e9n utilizaron el phishing dirigido, enviando emails comprometidos a los empleados de organizaciones estatales y sin \u00e1nimo de lucro.<\/p>\n

Los criminales utilizaron una clave sofisticada. El spyware emple\u00f3 un m\u00f3dulo integrado para robar contrase\u00f1as guardadas en navegadores populares.<\/div>\n

Son muchos los factores, adem\u00e1s del \u00a0uso de vulnerabilidades de d\u00eda cero, que demuestran el alto nivel de conciencia de los cibercriminales involucrados. Llegaron tan lejos como para lograr con \u00e9xito \u00a0la creaci\u00f3n de \u00a0certificados de seguridad digitales que utilizaron para el malware. Para espiar los canales de comunicaci\u00f3n utilizados por sus v\u00edctimas, los criminales utilizaron claves sofisticadas. El spyware emple\u00f3 un m\u00f3dulo integrado para robar contrase\u00f1as guardadas en navegadores populares.<\/p>\n

Curiosamente, los culpables fueron extremadamente cautelosos y dise\u00f1aron una serie de medidas para prevenir la detecci\u00f3n de malware. Primero, se aseguraron de que el virus tuviese un largo periodo de incubaci\u00f3n: la primera vez que el Troyano se conect\u00f3 a los servidores de C&C fue 180 d\u00edas despu\u00e9s de haberse infiltrado en los sistemas. En segundo lugar, el programa de spyware ten\u00eda un protocolo de autodestrucci\u00f3n si el idioma del sistema se cambiaba a coreano.<\/p>\n

\"DH3\"<\/a>\u00a0<\/strong>Los criminales estaban operando principalmente en Jap\u00f3n, as\u00ed como tambi\u00e9n en Taiw\u00e1n y China. Sin embargo, Kaspersky Lab consigui\u00f3 detectar ataques en otros pa\u00edses, incluyendo algunos bastante lejos de los territorios de inter\u00e9s para los acusados.<\/p>\n