Die Angriffe erfolgten, wenn sich die jeweilige Zielperson in das WLAN des Hotels einbuchte. Dabei wurde ihr dann beispielsweise ein angebliches Update für Software wie den Adobe Reader untergeschoben. Das installierte dann Spionage-Software auf dem Notebook, berichten die Antiviren-Experten von Kaspersky. Alternativ kamen auch Zero-Day-Exploits zum Einsatz. Die Darkhotel-Gruppe wusste offenbar schon vorher recht genau über die Reisepläne ihrer Opfer Bescheid, brach in die Hotelnetze ein und platzierte etwa ein iFrame auf der Login-Seite des Hotel-WLANs. Die Angriffe richteteten sich dann auch nur gegen die jeweilige Zielperson; so konnten die KasperskInteressant ist, dass die verwendeten Hintertür-Programme in der Regel digital signiert waren. Auffällig bei vielen der dazu verwendeten Zertifikate waren deren schwache 512-Bit-RSA-Schlüssel. Kaspersky geht davon aus, dass die Angreifer den zugehörigen geheimen Schlüssel errechnet haben, was auf gutes Krypto-Knowhow der Gruppe hinweist. In neueren Fällen kamen Zertifikate mit längeren Schlüsseln zum Einsatz, die wahrscheinlich den rechtmäßigen Besitzern gestohlen wurden, um sie für das Code-Signing der Malware zu missbrauchen. y-Forscher keine Angriffe auf ihr extra mitgebrachtes Honeypot-System provozieren. Nach erfolgreichen Attacken löschten die Angreifer die Exploits und alle Spuren ihres Einbruchs. Zur gefundenen Malware gehörten spezielle Keylogger, die im Hintergrund heimlich Tastatureingaben belauschten. Zum Repertoire gehören aber auch kleine Tools, die unter anderem in Internet Explorer, Firefox und Chrome gespeicherte Passwörter klauen und auf die Darkhotel-Kontroll-Server hochladen.
Die Aktivitäten der Darkhotel-Gruppe sollen bis 2007 zurückreichen. Wer hinter der Gruppe steckt, die vor allem in Japan aktiv ist, ist nicht bekannt.
Die Aktivitäten der Darkhotel-Gruppe sollen bis 2007 zurückreichen. Wer hinter der Gruppe steckt, die vor allem in Japan aktiv ist, ist nicht bekannt.
