За даними дослідників компанії FireEye, кіберзлочинністю угруповання APT 28 (також відома як Fancy Bear) стежила за високопосадовцями, зупиняється в готелях середньосхідна і європейських країн. Цікаво, що хакери, які пов'язують багатьма експертами з російськими спецслужбами, використовували для стеження інструмент EternalBlue з арсеналу Агентства національної безпеки США. Нагадаємо, EternalBlue був викладений у відкритий доступ угрупованням Shadow Brokers в квітні поточного року.

Кіберзлочинці атакували нічого не підозрювали користувачів шляхом злому готельних мереж Wi-Fi. Для швидкого поширення контролю над мережами зловмисники використовували експлоїт EternalBlue.

Атаки починалися з розсилки шкідливих фішингових листів (подібні листи були розіслані персоналу готелів як мінімум в семи країнах Європи і одній країні Середнього Сходу). Повідомлення містили документ, після відкриття якого на систему завантажувалося шкідливе ПО Gamefish.

Достеменно невідомо, хто саме стоїть за атаками, проте цей інструмент часто використовує угруповання APT 28, що і наштовхнуло дослідників на думку про її причетність до інцидентів.

Після установки Gamefish отримував команди знайти і заразити обладнання, що управляє внутрішньої і гостьовий мережами Wi-Fi, з метою подальших атак на конкретних користувачів. Для викрадення облікових даних жертв з готельної бездротової мережі хакери використовували унікальну, до сих пір не зустрічалося техніку, що дозволяє викрасти логіни і паролі навіть без необхідності змусити жертву вводити їх.