一直以来，负责酒店网络安全的服务提供商都在竭力降低客用Wi-Fi的脆弱性并增强对综合性网络威胁的防范意识。从阻止端到端流量到添加热点2.0，酒店网络提供商在保护入住宾客的上网安全方面发挥着重要作用。然而，由卡巴斯基发布的新研究结果显示，这些措施仍有不足之处，具体而言，它们对一种代号为“DarkHotel”的高级持续性威胁 (Advanced Persistent Threat，APT) 无能为力。

道高一尺，魔高一丈

DarkHotel指的是利用酒店的无线网络有针对性的瞄准高管而做的攻击。它不仅能做到侦查未加密的Wi-Fi流量、记录未保护密码、抓取SSL会话cookies——这些服务提供商早已能够检测和拦截的普通Wi-Fi威胁，而且经过7年的进化，DarkHotel还可以通过酒店网络基础设施对高端酒店和商务中心发起有针对性的鱼叉式网络钓鱼攻击。

根据卡巴斯基的报告 ，DarkHotel不仅是一种开源式攻击工具或手段，而且是一种在全球各大酒店无线网络中运行的高级持续性威胁。它至少在2007年就出现了，主要分布于日本、台湾地区、中国大陆、中国香港、俄罗斯和韩国。DarkHotel的实施者（名为“Tapaoux”）似乎专门瞄准入住受攻击酒店与商务中心的大公司高管。国际执法机构仍在积极抓捕这一威胁的实施者，同时清理受攻击的地点，关闭用于收集受害者数据的域名。

那么，DarkHotel用什么来攻击受害者？尽管工具繁多，DarkHotel倾向于静待受害者访问受攻击酒店的无线网络门户，然后通过该门户植入木马病毒，并通过Google Toolbar或者最新的Adobe Flash等合法软件进行打包。一旦受害者的设备受到感染，木马病毒即刻联系指令控制（C&C）服务器安装更高级的攻击工具并窃取数据。有趣的是，并非所有访问泄密门户的用户都会受到攻击，这表明DarkHotel可能会利用访问酒店门户网站所需的宾客姓名与房间号鉴别高价值的受害者并发起鱼叉式网络钓鱼攻击。

如何回击

卡巴斯基报告指出，受到攻击的门户网站会被感染嵌入式iFrame标签。该iFrame标签重新定向锚定受害者的网络浏览器，伪装安装程序，再重新打包以嵌入DarkHotel木马病毒。并且，DarkHotel能够在短时间内感染指定场所的门户网站、攻击受害者、移除iFrame并采删除攻击痕迹。因此，为酒店无线登录网站实施针对可疑iFrame的一次性检查不足以阻止DarkHotel。

实际上，酒店网络的运营者应持续监控DarkHotel的运行迹象，包括流向知名DarkHotel指令控制服务器与域名的反向信道流量。一些DarkHotel域名已经遭到陷洞攻击，即重定向至卡巴斯基的陷洞服务器 。但是，由于这些指令控制不断更改，运营方还应注意并阻止任何由其自身门户网站发起的浏览器重新定向。此类流量可以在被发现后立刻发出警报，并使用无线或有线IPS（互联网协议群）加以制止。

此外，酒店网络运营者还可以使用基于网络的反恶意软件，检查来自与DarkHotel相关的根证书或者有经证书授权中心认可的软件的流量 。该方法可作为第二级防护手段，在iFrame成功重新定向之后与IPS搭配使用。

目前，国际上正在积极消灭DarkHotel，并将其幕后实施者绳之以法。但是全球的酒店网络运营者应从中吸取经验教训：除了拦截无线网络的流量，或提供实时加密以外，还需采取防护措施，锁定酒店网络基础设施以及时刻关注对上酒店内网宾客的远程攻击迹象，才能确保酒店宾客的上网安全。