Bitdefender veröffentlichte vor Kurzem weitere Details der Arbeit der Hackergruppe Darkhotel. Die Gruppe ist seit einem Jahrzehnt aktiv und hat offenbar Tausende von Unternehmen über WLAN-Infrastrukturen in Hotels angegriffen. Sie ist dafür bekannt, die Ausnutzung noch unbekannter Schwachstellen (Zero-Day Exploits) komplexe Malware und Angriffswege mit „Whaling“ zu kombinieren, also dem gezielten Phishing nach ganz großen Fischen wie Top-Managern und  Geheimnisträgern.

Die Veröffentlichung von Bitdefender trägt den Titel „Inexsmar: An unusual Darkhotel campaign“. Sie zeigt, wie die Hacker ihre Werkzeuge verfeinerten, ihre Angriffsmethoden verändert haben und nun offenbar statt auf finanziellen Nutzen auch auf politische Informationen abzielen. Sie ist kostenlos verfügbar unter labs.bitdefender.com/2017/07/inexsmar-an-unusual-darkhotel-campaign/.

Bitdefender hat herausgefunden, dass ein Malware-Sample aus dem September 2016 – bekannt als Inexsmar –  starke Ähnlichkeiten mit Malware hat, die die Gruppe schon seit dem Jahr 2011 nutzt. Inexsmar stammt mit hoher Wahrscheinlichkeit von Darkhotel.

Für die Inesxmar-Kampagne wich Darkhotel jedoch von ihrem bisherigen Erfolgsrezept ab und nutzte neue Mechanismen, um den schädlichen Payload auszuliefern und um Infos zu exfiltrieren. Dazu gehören Social Engineering mittels E-Mail und ein sehr komplexer Trojaner. In einem mehrstufigen Verfahren lädt der Trojaner zur Tarnung harmlose Dokumente herunter, sendet Systeminfos an einen Command-and-Control-Server und löscht verdächtige Malware-Bestandteile selbst wieder vom Endgerät des Opfers.

Ebenfalls spannend: Während Darkhotel in der Vergangenheit hochrangige Firmenmitarbeiter wie CEOs, Top-Manager oder Entwicklungsleiter attackierte, um Informationen über Prototypen, geistiges Eigentum oder Software-Quellcode zu stehlen, scheint diese Attacke eher politische Hintergründe zu haben.

„Wir vermuten, dass diese Methode, Social Engineering mit einem mehrstufigen Trojaner-Downloader zu kombinieren, auch ein Schritt ist, um die Malware wettbewerbsfähig zu halten. Denn die Schutzmechanismen der Opfer verbessern sich immer weiter“, schreibt Alexandru Rusu, Malware Researcher und Autor des White Papers.

Dr. Jörg Schröper ist Chefredakteur der LANline.