Cyberspies Are Using Leaked NSA Hacking Tools to Spy on Hotels Guests

พบกลุ่มผู้ก่อการร้ายไซเบอร์แบบใหม่ในรัสเซียใช้เครื่องมือแฮ็คจาก NSA ที่เคยถูกนำมาใช้การแพร่ระบาด WannaCry และ NotPetya แต่ในครั้งนี้เป็นการกำหนดเป้าหมายเป็นเครือข่าย Wi-Fi เพื่อสอดแนมผู้ที่มาเข้าพักโรงแรมในหลายประเทศในยุโรป

นักวิจัยด้านความปลอดภัยจาก FireEye ได้เปิดเผยข้อมูลของกลุ่ม Hacker Fancy Bear ที่เคยมีการขโมยข้อมูลจากแขกที่เข้ามาพักในโรงแรมผ่านทางเครือข่าย Wi-Fi ของโรงแรม จากข้อมูลพบว่าเป็นการใช้ประโยชน์จากช่องโหว่ Windows SMB (CVE-2017-0143) ที่เรียกว่า EternalBlue

การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่ถูกส่งไปให้กับพนักงานของโรงแรม อีเมลจะมีไฟล์เอกสารที่เป็นอันตรายที่ชื่อ "Hotel_Reservation_Form.doc" ซึ่งใช้มาโครเพื่อถอดรหัสและติดตั้ง GameFish ซึ่งเป็นมัลแวร์ที่ Fancy Bear เคยใช้ เมื่อติดตั้งในเครือข่ายของโรงแรมที่เป็นเป้าหมาย GameFish จะใช้ประโยชน์จาก EternalBlue SMB เพื่อกระจายไปทั่วทั้งเครือข่ายของโรงแรมและค้นหาระบบที่ควบคุมเครือข่าย Wi-Fi

เมื่ออยู่ภายใต้การควบคุมมัลแวร์จะทำการติดตั้ง Responder เครื่องมือทดสอบเจาะระบบแบบโอเพนซอร์สที่สร้างโดย Laurent Gaffie ของ SpiderLabs สำหรับ NetBIOS Name Service (NBT-NS) เพื่อขโมยข้อมูลสำคัญที่ส่งผ่านเครือข่ายแบบไร้สาย

นักวิจัยเชื่อว่า Hacker กลุ่มนี้อาจกำหนดเป้าหมายไปยังกลุ่มลูกค้าโดยทั่วไปคือกลุ่มนักธุรกิจและบุคลากรของรัฐบาลที่เดินทางไปต่างประเทศ นักวิจัยยังเผยให้เห็นเหตุการณ์ดังกล่าวที่เกิดขึ้นในปี 2016 ที่กลุ่ม Hacker Fancy Bear เข้าถึงบัญชีผู้ใช้คอมพิวเตอร์และ Outlook Web Access (OWA) ของแขกที่พักในโรงแรมในยุโรป 12 ชั่วโมงหลังจากที่เหยื่อที่เชื่อมต่อกับเครือข่าย Wi-Fi ของโรงแรม

ทั้งนี้วิธีง่ายที่สุดที่จะป้องกันตัวเองคือควรหลีกเลี่ยงการเชื่อมต่อกับเครือข่าย Wi-Fi ของโรงแรม เครือข่ายสาธารณะหรือเครือข่ายที่ไม่มีความน่าเชื่อถืออื่น ๆ และควรที่จะใช้ฮอตสปอตมือถือของคุณแทน

ที่มา : thehackernews