Durante el último año, hemos sido testigos de toda una serie de ataques informáticos llevados a cabo por un misterioso grupo de hackers rusos. Se hacen llamar los Shadow Brokers. Y lo cierto es que en los últimos meses han desplegado un buen número de ataques alrededor del mundo.
Ellos son los mismos que robaron un potente exploit de Windows a la Agencia Seguridad Nacional (NSA) de Estados Unidos. Se llamaba Eternal Blue. Y al final fue determinante para que ataques como los de Wannacry o NotPetya tuvieran tanto éxito.
Ahora la empresa de seguridad FireEye ha publicado un nuevo informe en el que vincula un grupo de espionaje a la Inteligencia Militar Rusa (GRU). Ellos podrían estar detrás de una nueva oleada de ataques a hoteles europeos, que tendría por objetivo robar información confidencial de sus huéspedes.
Hoteles europeos, nuevas víctimas del ataque
Los hoteles atacados habrían sido varios, en un total de ocho países. La mayoría dentro de Europa, exceptuando uno de Oriente Medio. El grupo de hackers, que en este caso tendría el nombre de APT 28, tenía un objetivo muy claro. Robar información confidencial sobre seguridad de gobiernos y empresas. ¿Cómo? Pues accediendo a las entrañas de los equipos de los huéspedes. Lo hacían cuando estos se encontraran conectados a las redes WiFi públicas de los hoteles.
El ataque, que esta vez ha sido bautizado como Fancy Bear, fue perpetrado durante la primera semana de julio, con un objetivo muy importante: una serie de personas vinculadas a entidades gubernamentales y empresas.
Para conseguir sus objetivos, el grupo APT 28 habría usado Eternal Blue para adentrarse en los equipos de las víctimas. Y lo hicieron infectando los ordenadores que estaban conectados a la red como invitados. Los hackers se habían hecho antes con el control de los servicios WiFi del hotel. Y de este modo habrían podido acceder a las credenciales de acceso de los equipos invitados.
A través de este ataque, los hackers son capaces de conseguir que los ordenadores envíen los nombres de los usuarios y contraseñas. Esta información habría sido suficiente como para hacerse con los privilegios de los ordenadores de las víctimas.
Engañaron a los empleados
Los cibercriminales engañaron a los empleados de los hoteles a través de distintos mensajes de correo electrónico. La firma de seguridad que ha investigado el caso ha detectado varios e-mails en los que se pedía a los trabajadores que descargaran el documento infectado. El mismo que desencadenaría el ataque.
Al descargar el archivo, un malware llamado GAMEFISH quedaría instalado en el dispositivo. Y luego se ejecutaría de manera remota, desde los equipos controlados por este grupo criminal. Parece que esto les habría permitido robar información personal de las víctimas, lo que incluiría contraseñas y otros archivos. Por suerte, no parece que haya nadie afectado. Que se sepa hasta el momento.
Los hoteles, un suculento objetivo para atacantes
No es la primera vez que el interés de los cibercriminales se centra en los huéspedes de los hoteles. En otras ocasiones ya se han desplegado ataques usando las redes WiFi de los hoteles. El objetivo: robar información de interés de las personas hospedadas en un establecimiento. La empresa de seguridad Kaskerspy Lab ya explicó en 2014 que un grupo bautizado como Dark Hotel habría estado infectando durante al menos siete años las redes de algunos hoteles.
Todos eran hoteles de lujo. Y en base a las pruebas, Kaskpersky Lab determinó que los hackers tenían vínculos con los creadores del gusano Stuxnet. Lo que hicieron fue infectar las salas de conferencias de los hoteles para controlar las negociaciones diplomáticas de Estados Unidos y otros países con Irán, acerca de sus programas nucleares.