Dat meldt beveiligingsbedrijf FireEye vrijdag in een blogbericht. De hackersgroep infecteerde in juli de netwerken van zeker zeven hotels in Europa en één in het Midden-Oosten.
Het zou gaan om hotels waar bijvoorbeeld ambtenaren op een diplomatieke reis verblijven. Dat stelt Ben Read, onderzoeker bij FireEye, tegenover Motherboard. De hotels zouden behoren tot internationale ketens, maar Read wilde de namen van de locaties niet bekendmaken.
Bij de aanval versturen de criminelen een document dat lijkt op een formulier voor werknemers van een hotel naar het doelwit toe. In dat document zit een programma verwerkt dat malware op de computer van het slachtoffer moet installeren. Anton Cherepanov, beveiligingsonderzoeker bij ESET, zegt tegenover Motherboard dat alleen Fancy Bear de malware in de verstuurde documenten gebruikt.
De hack misbruikt het zogenoemde Eternalblue-lek in Windows. De Amerikaanse inlichtingendienst NSA vond dit lek; het bestaan van een manier om het lek uit te buiten kwam in april dit jaar naar buiten nadat de NSA zelf was gehackt.
Ook bij de WannaCry- en Petya-aanvallen werd gebruikgemaakt van hetzelfde lek. Het zou echter de eerste keer zijn dat Fancy Bear een lek gebruikt dat door de mysterieuze hackersgroep Shadow Brokers is gelekt.
Wachtwoorden
De hackers proberen vervolgens met een programma genaamd Responder wachtwoorden en gebruikersnamen van slachtoffers te stelen. Dat programma doet zich voor als een apparaat op het lokale netwerk, zodat computers er verbinding mee maken. Vervolgens kan het informatie vanaf de computer stelen.
Heeft een gebruiker verbinding met een wifi-netwerk, dan kunnen wachtwoorden gestolen worden. Daarvoor hoeven ze niet eerst ingetypt te worden door het slachtoffer.
FireEye heeft geen bewijs dat reizigers tijdens de aanval succesvol gehackt zijn.