Ogni hotel custodisce, nell’ambito delle sue attività, una serie di dati e contenuti importanti, generati oppure ottenuti nel corso dello svolgimento delle attività lavorative ordinarie.
Dal 2007, un gruppo criminale di hacker, ha intercettato questa miniera d’oro iniziando a compromettere le infrastrutture WiFi di alcuni hotel dell’Asia.
Utilizzando dei metodi via via più sofisticati, questo gruppo di criminali informatici inizia ad espandere i propri attacchi in Corea del Nord, Russia, Corea del Sud, Giappone, Bangladesh, Thailandia, Taiwan, Cina, Stati Uniti, India, Mozambico, Indonesia e Germania.
La prima campagna di spionaggio DarkHotel (questo il nomignolo che gli hacker si sono “guadagnati”) è stata scoperta dagli esperti di Cyber Security alla fine del 2014.
Come vengono attaccati gli hotel
Il modus operandi più frequente degli hacker di DarkHotel prevede delle campagne di spear-phishing, volte a sottrarre dati sensibili sia alla struttura che ai clienti business che soggiornano negli hotel di lusso. I bersagli preferiti sono CEO, Senior Vice-President, direttori vendite e marketing di varie organizzazioni.
Questi dirigenti di alto livello provengono principalmente dai settori manifatturiero, della difesa, dei capitali, farmaceutico, delle forze dell’ordine, dagli ranghi militari e di altri settori.
Una volta che gli utenti si connettono alla rete, vengono “accolti” da una finestra di dialogo che chiede loro di installare un falso aggiornamento.
L’aggiornamento falso è in realtà un pezzo di malware con firma digitale.
Il Malware usato dal gruppo di hacker, come se non bastasse, arriva equipaggiato con svariati keylogger che sottraggono tutto il possibile e lo trasmettono direttamente alla fonte dell’attacco.
Questo gruppo di Criminal Hacker sembra sapere in anticipo quando le vittime prescelte arriveranno nelle strutture di lusso e in che data lasceranno l’hotel.
È questo il modus operandi degli hacker: aspettare fino a quando le loro vittime giungono in hotel e si connettono a Internet, come è stato efficacemente analizzato dagli esperti di Cybersecurity che hanno studiato le attività di DarkHotel.
Per fare questo, il gruppo di Criminal Hacker viola tutti i sistemi degli hotel che registrano le informazioni di check-in e check-out degli ospiti. Accedendo all’elenco, gli aggressori sono in grado di raccogliere informazioni sui loro obiettivi principali. Questi possono accedere, tra l’altro, a informazioni quali l’orario di arrivo e di partenza previsto della vittima, il numero di camera e il nome completo.
Oltre ad inquinare le reti peer-to-peer per infettare le masse, DarkHotel utilizza una serie di certificati digitali per estendere il perimetro del loro attacco. Gli hacker sfruttano i certificati digitali scarsamente implementati per firmare il loro malcode.
Attualmente, stanno rubando e riutilizzando altri certificati legittimi per firmare il loro set di strumenti, per lo più backdoor e info stealer. La loro infrastruttura cresce e si restringe nel tempo, senza un modello coerente di configurazione. È allo stesso tempo protetta con una crittografia flessibile dei dati e mal difesa con funzionalità deboli e mal implementate.
Gli strumenti degli Hacker
Il gruppo di criminali ricorre a tecniche piuttosto ricorrenti nelle sue campagne.
Tra queste troviamo:
- Keylogger: Visto e considerato come la maggior parte degli hotel hanno computer e reti accessibili al pubblico;
- Malware: gli hacker li utilizzano installando un semplice downloader di malware o malware sul computer dell’ospite per raccogliere informazioni;
- Spear-phishing: DarkHotel utilizza questa strategia indirizzata alle vittime per diffondere malware
Come arginare la minaccia
Fortunatamente, per arginare le minacce del gruppo di hacker che imperversa in giro per il mondo, è possibile svolgere una serie di azioni volte a prevenire, bloccare ed eliminare le minacce.
Se la violazione è già avvenuta, il primo passo da fare è rivolgersi ad un Managed Service Provider per una procedura di Data Recovery.
Allo stesso tempo, è fondamentale monitorare costantemente lo stato del proprio network, grazie a servizi come il monitoraggio proattivo in cui FiveFold è specializzata.
Assicurata la “tenuta” della rete, si deve passare a un’attenta attività di Vulnerability Assessment. Si tratta di un’analisi di sicurezza che ha l’obiettivo di identificare tutte le vulnerabilità potenziali dei sistemi e delle applicazioni di un hotel.
Come?
Valutando il danno potenziale che l’eventuale “attaccante” può infliggere all’unità produttiva. Personale altamente qualificato, in un secondo momento, integra e verifica i risultati attraverso una meticolosa attività manuale. Queste attività hanno lo scopo di rifinire la ricerca evidenziando eventuali errori commessi durante il processo. Uno strumento buono di Vulnerability Assessment permette all’utente di avere un’overview aggiornata del livello di sicurezza degli asset IT.
Infine non c’è misura preventiva migliore del Penetration Test.
Cos’è il Penetration Test?
Si tratta di una “diagnosi” dei punti deboli relativi ad una infrastruttura IT di un hotel e, dopo averli scoperti, prova ad exploitarli in maniera sicura e controllata. Le vulnerabilità che sono oggetto d’esame da parte delle attività di Penetration Testing possono essere presenti nel software stesso in questi punti d’accesso:
- Flaws non intenzionali nel design del codice del software;
- Utilizzando il software in un modo per cui non è stato progettato;
- La non corretta implementazione della gestione della configurazione del software;
- Backdoor (porte sul retro) nel sistema operativo.
Le attività di Penetration Testing possono essere condotte sia attraverso processi automatici che manuali. Solitamente, il target di questa attività è focalizzato sui seguenti endpoint:
- Network endpoint;
- Dispositivi Mobile e Wireless;
- Network Security Device;
- Server;
- Altre aree esposte come il codice che sta dietro alle applicazioni.
Lo scopo di un Penetration Test, tuttavia, è quello di andare il più a fondo possibile nell’infrastruttura IT aziendale per arrivare agli asset elettronici di una azienda. L’obiettivo non è quello di colpire duramente il bersaglio al primo tentativo, ma è quelli di colpire anche più duramente nei tentativi seguenti.
Prendendo questo come punto di partenza, possiamo stabilire che l’obiettivo principale di un penetration test sia quello di identificare chiaramente le vulnerabilità di sicurezza di un hotel. Oltre a quanto appena detto, c’è una serie di altri obiettivi che il penetration test può raggiungere:
- Verificare la compliance delle policy di sicurezza;
- Testare la consapevolezza dello staff in materia di sicurezza;
- Controllare se e come un’organizzazione può affrontare un data breach.
FiveFold è a disposizione di tutte le aziende che necessitano di misure preventive volte a tutelare la struttura alberghiera dalle minacce che, come vediamo, sono all’ordine del giorno e sono sempre più pericolose sia per l’hotel che per i suoi ospiti.
Per maggiori informazioni e per fissare una consulenza gratuita, contattaci!