Hacker russi prendono di mira le connessioni Wi-Fi degli hotel

Gli esperti di sicurezza informatica avevano dato l’allarme qualche mese fa: gli attacchi ransomware WannaCry e Petya che hanno colpito migliaia di aziende in tutto il mondo, sono solamente la punta dell’iceberg e nei prossimi mesi gli attacchi verso imprese e utenti saranno sempre più pericolosi.

Ed è esattamente quello che sta accadendo. Secondo i ricercatori di FireEye, azienda specializzata in cybersicurezza, alcuni hacker russi appartenenti al gruppo APT28 starebbero utilizzando la cyber arma EternalBlue per rubare le credenziali degli utenti che si connettono al Wi-Fi degli hotel. EternalBlue è la stessa cyber arma utilizzata dagli hacker per dar vita a WannaCry e Petya e rubata dal gruppo Shadow Broker dai server della NSA (l’agenzia degli Stati Uniti per la sicurezza nazionale). Ricordiamo che l’exploit sfrutta una falla presente nel protocollo SMB Server di Windows (utilizzato solitamente per collegare le stampanti con un servere centrale) per infettare tutti i computer presenti nella stessa Rete.

Nonostante la falla sia stata “coperta” dai programmatori di Microsoft, non sono molte le aziende che hanno scaricato l’aggiornamento. E i computer potenzialmente in pericolo sono milioni (gli utenti che utilizzano Windows 10 possono stare tranquilli, la falla non è presente nell’ultima versione del sistema operativo dell’azienda di Redmond).

Utenti in pericolo

Secondo i ricercatori di FireEye, sono molti i gruppi hacker che starebbero utilizzando EternalBlue per potenziare i propri malware (il codice della cyberarma è stato rilasciato gratuitamente da Shadow Broker, in modo che chiunque possa creare un virus capace potenzialmente di mettere KO milioni di dispositivi). Ma il gruppo di hacker russi APT28 è uno dei primi ad aver completato l’opera e ad aver realizzato un malware molto potente e subdolo. I pirati informatici hanno preso di mira la rete Wi-Fi degli hotel, in modo da trafugare le credenziali dei clienti e utilizzarle per scopi illeciti.

Come funziona il malware creato dal gruppo hacker APT28

Gli hacker russi, per diffondere il virus all’interno delle reti degli hotel, hanno creato una campagna phishing che ha colpito decine di hotel in sette paesi europei. Il funzionamento della campagna phishing è molto semplice: i pirati informatici hanno inviato agli alberghi una mail con un allegato malevolo con il seguente nome “Hotel_Reservation_From.doc”. Se per sbaglio si scarica il file e si attiva la macro presente all’interno, il virus GameFish creato dal gruppo hacker e che utilizza EternalBlue, infetta il computer e pian piano colpisce tutti i dispositivi della Rete fino ad arrivare al PC che gestisce il Wi-Fi. A questo punto per gli hacker riuscire a ottenere tutte le credenziali dei clienti che utilizzando la rete Wi-Fi per connettersi ai social network è un gioco da ragazzi. Gli hacker russi, però, non sono alla ricerca delle credenziali d’accesso di Facebook o di Instagram, ma le password per entrare all’interno dei portali dei Ministeri delle Nazioni straniere. In modo da rubare informazioni riservate e rivenderle al miglior offerente.

Come difendersi da GameFish

La campagna phishing architettata dagli hacker russi sfrutta le poche capacità informatiche della maggior parte degli utenti che naviga su Internet. Scaricare un allegato da una email di cui non si conosce il mittente è uno degli errori più grandi che si possa commettere. Ma nonostante ciò, sono migliaia le persone che lo fanno. Inoltre, come detto in precedenza, per difendersi da EternalBlue basta scaricare la patch che i programmatori di Microsoft hanno sviluppato da oramai diversi mesi. Ma gli utenti che lo hanno fatto sono veramente pochi.