Kompanija “FireEye” objavila je detalje o novoj kampanji, koju u Evropi sprovodi zloglasna ruska hakerska grupa Fancy Bear (poznata i kao APT28, Sofacy, Sednit i Pawn Storm).
Pomenuta grupa kao svoju metu ovaj put je odabrala kompanije iz zdravstvenog sektora, kao i Wi-Fi mreže sedam hotela u neimenovanim evropskim zemljama i jednom hotelu na Bliskom istoku.
Srž cijele kampanje je Windows SMB ranjivost poznata kao EthernalBlue, koja služi za širenje aplikacije kroz cijelu mrežu i koju je navodno koristila i američka agencija NSA.
Napad bi započinjao slanjem phishing elektroničke pošte zaposlenicima u hotelu, koja je sadržavala maliciozni dokument “Hotel_Reservation_Form.doc“.
Taj dokument sadržavao je malicioznu aplikaciju GameFish, koja je u sebi sadržavala EthernalBlue ranjivost, kako bi se proširila kroz cijelu mrežu napadnutih hotela. Potom je iskorišten PenTest alat Responder kako bi se prikupili podaci, koji prolaze kroz kompromitovanu bežičnu mrežu.
U FireEyeu vjeruju da meta napada nisu bili svi posjetioci napadnutih hotela, već samo određene osobe “od posebnog interesa” (predstavnici vlada i značajniji ljudi iz privatnog sektora).