网络间谍正在使用泄露的NSA黑客工具监视酒店客人

FireEye的安全研究人员发现了一项正在进行的活动，该活动利用欧洲酒店的Wi-Fi网络远程窃取高价值客人的证件，并将其归咎于花式熊黑客组织。

花式熊—也称为APT28、Sofacy、Sednit和Pawn Storm—；至少从2007年开始运作，还被指控入侵民主党全国委员会（DNC）和克林顿竞选团队，试图影响美国总统选举。

新发现的活动还利用了Windows SMB漏洞（CVE-2017-0143），名为永恒蓝这是美国国家安全局（NSA）据称用于监视的众多漏洞之一，并于4月被影子经纪人泄露。

EternalBlue是一个安全漏洞，它利用Windows Server Message Block（SMB）1版网络协议的一个版本在网络上横向传播，还允许WannaCry和Petya勒索软件快速传播到世界各地。

由于“永恒蓝”代码可供任何人使用，网络犯罪分子正在广泛尝试利用该漏洞使其恶意软件更强大。

就在上周，一个新版本的凭证窃取TrickBot银行特洛伊木马被发现利用SMB在网络上本地传播，尽管该特洛伊木马当时没有利用EternalBlue。

然而，研究人员现在发现有人利用该漏洞升级攻击。

FireEye的研究人员写道：“为了通过酒店公司的网络传播，APT28使用了一种版本的永恒蓝SMB漏洞。”。“这是我们第一次看到APT28将此漏洞纳入其入侵。”

研究人员已经看到针对酒店业多家公司的持续袭击，包括至少七个欧洲国家和一个中东国家的酒店。

以下是袭击的实施方式

这些攻击始于向一名酒店员工发送的一封矛式网络钓鱼电子邮件。该电子邮件包含一个名为“Hotel_Reservation_Form.doc”的恶意文档，该文档使用宏来解码和部署GameFish，这是Fancy Bear使用的恶意软件。

一旦安装在目标酒店的网络上，野鱼使用EternalBlue SMB漏洞横向扩展到酒店网络，并找到控制客人和内部Wi-Fi网络的系统。

一旦受到控制，恶意软件就会部署应答器是一种开源渗透测试工具，由SpiderLabs的Laurent Gaffie创建，用于NetBIOS名称服务（NBT-NS）中毒，以窃取通过无线网络发送的凭据。

虽然黑客组织对酒店网络进行了攻击，但研究人员认为，该组织还可以直接针对“感兴趣的酒店客人”—；通常指在国外旅行的商业和政府人员。

研究人员揭示了2016年发生的一起此类事件，在受害者连接到酒店的Wi-Fi网络12小时后，Fancy Bear访问了欧洲一家酒店的客人的计算机和Outlook Web Access（OWA）帐户。

这并不是唯一一次针对酒店客人的袭击。韩国nexus Fallout Team（也称DarkHotel）此前曾对亚洲酒店进行过此类攻击，目的是在大型跨国公司高管出差期间窃取他们的信息。

Duqu 2.0恶意软件还被发现针对伊朗核谈判参与者使用的欧洲酒店的WiFi网络。此外，访问俄罗斯和中国的知名人士可能会访问他们的笔记本电脑和其他电子设备。

保护自己最简单的方法是避免连接酒店Wi-Fi网络或任何其他公共或不受信任的网络，而是使用移动设备热点访问互联网。