Un grupo de hackers, acusados de una intromisión en la campaña electoral para la presidencia de Estados Unidos, está aprovechando la vulnerabilidad de Windows que permitió al ransomware WannaCry y Petya convertirse en armas poderosas, y la utilizan para realizar ataques cibernéticos en hoteles de toda Europa.
Investigadores de Fire Eye ha lanzado una campaña de denuncia, en la que afirma que los atacantes, pertenecientes a una organización llamada APT28, roban las credenciales de los húespedes de hoteles que se conectan a Internet vía Wi-Fi. Esta organización, también llamada Fancy Bear, ha sido vinculada por muchas empresas de seguridad a la inteligencia militar rusa.
El ataque explora la vulnerabilidad de seguridad EternalBlue, que aprovecha la versión del protocolo de red de Server Message Block (SMB) de Windows, y se extiende mediante las redes. Esta hazaña, supuestamente conocida por los servicios de inteligencia de los estados unidos, es utilizada por el servicio de inteligencia americano NSA para labores de vigilancia, y fue filtrada por el grupo de hackers Shadow Brokers.
Con la información sobre la vulnerabilidad hecha pública, era cuestión de tiempo para que un grupo de criminales decidiera aprovecharla, tal como sucedió con la gran escalada de WannaCry y Petya. Así mismo, se ha afirmado, que otro grupo de criminales busca usar EternalBlue para crear su propio malware, sin embargo, es la primera vez que ATP28 trata de hacerlo.
El ataque se produce a través de una campaña de “pishing”, dirigida a varios hoteles en siete países de Europa y un país del Medio Oriente, que reciben correos electrónicos que comprometen sus redes. Estos correos contienen un mensaje que dice: “Hotel_Reservation_From.doc” que contiene un archivo que al ser ejecutado decodifica el GameFish, nombre que atribuyeron los investigadores al malware de APT28.
Una vez implementado GameFish e instalado en la red, utiliza Eternal Blue para encontrar los ordenadores que controlan las redes Wi-Fi internas e invitadas. Una vez controlados los ordenadores, el malware implementa una herramienta de código abierto para robar cualquier clave o credencial enviada mediante la red inalámbrica.
Estos ataques son similares a los perpetrados por una campaña informática criminal llamada DarkHotel, que igualmente se aprovecha de las vulnerabilidades de las redes del sector hotelero para perpetrar sus crímenes. Sin embargo, los investigadores han afirmado que a pesar de las similitudes, ambas campañas no tienen ninguna vinculación directa.
