지능형 사이버 공격 방어 기업 피어아이가 8월16일 사이버 위협 그룹 'APT28'이 호텔 업계를 공격하고 있다고 발표했다. APT28은 러시아에 기반을 둔 그룹으로, 와이파이 트래픽에서 비밀번호를 알아내거나 넷바이오스 네임서비스를 공격하고 이터널블루 익스플로잇을 통해 공격을 확산하는 등 눈에 띄는 기술을 사용하고 있다.
파이어아이는 7월 초, 유럽 국가 일곱 곳과 중동 국가 한 곳에 위치한 다수의 호텔 기업에 피싱 이메일로 전송된 악의적 문서파일을 포착했다. 이 문서파일은 매크로가 성공적으로 실행되는 경우 APT28의 대표적인 악성코드 게임피쉬가 설치된다.
APT28은 여행객들을 대상으로 악성코드를 네트워크에 확산시키기 위해 이터널블루 익스플로잇과 오픈소스 툴 리스폰더 등 새로운 기술을 사용하고 있다. APT28은 호텔 네트워크에 침입 후 투숙객 및 호텔 내부 와이파이 네트워크를 제어하는 기기를 찾아낸다. 이번 공격을 받은 호텔에서는 고객 정보가 유출되지는 않았지만, 지난 2016년 가을에 있었던 공격에선 APT28이 호텔 와이파이 네트워크에서 유출된 것으로 보이는 개인 정보를 통해 피해자의 네트워크에 처음 접근한 것으로 밝혀졌다.