Специалисты из «Лаборатории Касперского» выяснили, что после произошедшего месяц назад взлома сети Hacking Team – компании, которая разрабатывает и поставляет шпионское программное обеспечение правительствам и правоохранительным органам, – в распоряжение целого ряда хакерских групп попали вредоносные инструменты, созданные итальянской компанией, в том числе и эксплойты для Adobe Flash Player и Windows. Одним из таких коллективов является и группа Darkhotel, получившая известность после проведения шпионской кампании в отелях премиум-класса, целью которой являлись высокопоставленные лица и бизнесмены.
Созданный Hacking Team эксплойт для уязвимости нулевого дня в Adobe Flash Player стал использоваться хакерами почти сразу после утечки файлов, произошедшей 5 июля текущего года. Кроме того, хакеры из Darkhotel по-прежнему проводят таргетированные фишинг-атаки для заражения потенциальных жертв, а также применяют украденные ранее сертификаты компании Xuchang Hongguang Technology.
География деятельности Darkhotel расширилась: в текущем году были зафиксированы атаки в Бангладеш, Германии, Индии, Мозамбике, России, Северной и Южной Корее, Таиланде и Японии.
После того, как в прошлом году «Лаборатория Касперского» раскрыла киберкампанию Darkhotel, хакеры работали над тем, чтобы научиться идентифицировать антивирусные решения от различных разработчиков, которые установлены на компьютерах потенциальных жертв. Так, программа-загрузчик Darkhotel способна распознать антивирусные технологии 27 вендоров.
Как утверждает Курт Баумгартнер, ведущий специалист «Лаборатории Касперского», причиной активизации Darkhotel является утечка информации из Hacking Team, в результате которой группировка заполучила новый эксплойт для Adobe Flash Player. Хакеры из Darkhotel уже использовали целый ряд подобных инструментов, потому нельзя исключить наличия у атакующих большого количества эксплойтов для проведения точечных атак против избранных жертв.