Federalne Biuro Śledcze (FBI) wydało krytyczne doradztwo publiczne, podkreślając eskalację w cyberatakach szczególnie ukierunkowanych na branżę linii lotniczych. Znany kolektyw hakowania znany jako rozproszony Spider, wcześniej rozpoznany z napaści na sektor detaliczny i ubezpieczeniowy, teraz poszerza swój złośliwy zakres, stanowiąc poważne zagrożenie dla globalnej infrastruktury podróży lotniczej. Alert agencji podkreśla rosnące poleganie grupy na wyrafinowanej taktyce inżynierii społecznej w celu manipulowania personelem pomocy technicznej, uzyskując w ten sposób nieautoryzowany dostęp do wrażliwych systemów wewnętrznych.
Według FBI, modus Spider Operandi często obejmuje przekonanie pracowników pomocy technicznej do ominięcia kluczowych ochrony uwierzytelniania wieloskładnikowego (MFA). Często osiąga się to poprzez przekonanie ich do zarejestrowania nieuczciwych urządzeń MFA na zagrożone konta. Po wejściu do sieci napastnicy te działają z niezwykłą szybkością i wydajnością, angażując się w różne nielegalne działania, w tym kradzież danych, wymagające płatności okupu, aw niektórych poważnych przypadkach, wdrażając oprogramowanie ransomware w celu okaleczenia możliwości operacyjnych organizacji. Ten szybki postęp od początkowego dostępu do zakłóceń na pełną skalę podkreśla pilność ostrzeżenia FBI.
Eksperci ds. Bezpieczeństwa cybernetycznego zgadzają się, że skuteczność grupy wynika z ich głębokiego zrozumienia ludzkich zachowań w złożonych systemach korporacyjnych. John Hultquist, główny analityk w Google’s Ground Intelligence Group, zauważył w raporcie autorstwa Przewodowe„Ta grupa przeprowadza poważne ataki na naszą krytyczną infrastrukturę. Zidentyfikowali poważną lukę w naszych systemach bezpieczeństwa, z której z powodzeniem korzystają”. To stwierdzenie podkreśla krytyczną podatność wykorzystywaną przez rozproszonego pająka: element ludzki w ramach bezpieczeństwa IT.
Ostrzeżenie FBI pojawia się w tle ostatnich incydentów cyberprzestępczych zgłoszonych przez kilka wybitnych linii lotniczych. W ostatnich tygodniach zarówno Westjet, jak i Hawaiian Airlines publicznie uznały naruszenia. Ponadto australijski przewoźnik Qantas potwierdził cyberatak, chociaż nie powiązał od razu incydentu z rozproszonym pająkiem. Sam Rubin z Networks Palo Alto Networks 42 zabrał się do LinkedIn w celu podniesienia alarmu, pilnie doradzając firmom lotniczym w celu utrzymania statusu „wysokiego alarmu” dotyczących potencjalnych żądań fałszywych resetowania MFA i wyrafinowanych prób podszywania się. Powtórzą ten problem, mandant Google, jak donosi Reutersstwierdził, że zaobserwowano „wiele incydentów w pionach linii lotniczych i transportowych”, które mają uderzające podobieństwo do charakterystycznego podejścia rozproszonego Spidera. Charles Carmakal, dyrektor ds. Technologii w Mandiant, zdecydowanie zalecił: „Zalecamy, aby branża natychmiast podjęła kroki w celu zaostrzenia procesów weryfikacji tożsamości pomocy technicznej”.
Rozproszony pająk, nieuchwytny i płynny kolektyw, jest znany z różnych aliasów, w tym UNC3944, błotnistej Wagi i Tempestu Octo. Grupa ma udokumentowaną historię atakowania wielu sektorów w kolejnych falach. Przed atakowaniem linii lotniczych z powodzeniem infiltrowali dostawców telekomunikacyjnych, instytucje usług finansowych i detalistów, konsekwentnie stosując podobne techniki w celu uzyskania nieautoryzowanego dostępu, exfiltracji wrażliwych danych, a następnie wymagania znacznych okupów. Niedawny raport ReliaQuest przedstawił szczegółowy opis naruszenia z udziałem dyrektora finansowego bezimiennej firmy. W tym incydencie atakujący skrupulatnie zebrali dane osobowe CFO, a następnie z powodzeniem przekonali działanie pomocy IT do resetowania poświadczeń i urządzeń MFA. Dzięki pełnemu dostępowi hakerzy infiltrowali systemy krytyczne, w tym SharePoint, Horizon Virtual Desktop i VMware, ukradkujące wrażliwe dane, a także desperackiej próby „spalonej ziemi” po wykryciu, nawet wyłączone zapory ogniowe.
Uważa się, że rozproszony Spider jest integralną częścią szerszej podziemnej społeczności znanej jako „Com”, która obejmuje również inne znane grupy, takie jak Lapsus $. Kolektyw składa się głównie z anglojęzycznych nastolatków i młodych dorosłych, którzy często działają z platform takich jak Discord i Telegram, wykorzystując te kanały do dzielenia się taktyką i świętowania „zwycięstw” z rówieśnikami. Jednostka 42, zespół wywiadu zagrożenia Palo Alto, zauważył: „Ta grupa ewoluowała na platformach komunikacyjnych Discord i Telegram, czerpiąc członków z różnych środowisk i zainteresowań”. Ta luźna struktura organizacyjna sprawia, że grupa jest szczególnie trudna do rozbicia, a ich szybka krzywa uczenia się w połączeniu z ich wspólną naturą jedynie wzmacnia ich niebezpieczeństwo dla infrastruktury krytycznej.
Eksperci konsekwentnie zgadzają się, że skuteczna obrona przed rozproszonym pająkiem wymaga znacznego wzmocnienia procedur weryfikacji tożsamości, szczególnie na kluczowym poziomie pomocy. Zespół Mandiant Google Cloud zaleca kilka kluczowych działań: dokładnie weryfikacja tożsamości przed zatwierdzeniem jakichkolwiek zmian w urządzeniach MFA lub poświadczeniach; Zapewnienie kompleksowego szkolenia zespołom IT, aby umożliwić im rozpoznanie rzeczywistej taktyki inżynierii społecznej; segregowanie tożsamości w całej infrastrukturze organizacji w celu ograniczenia ruchu bocznego; oraz wzmacnianie solidnych kryteriów uwierzytelniania we wszystkich systemach. Organizacje, które podejrzewają, że zostały ukierunkowane, są silnie zachęcane do niezwłocznego zgłaszania incydentów. FBI podkreśliło w pogotowiu: „Wczesne raportowanie pozwala FBI niezwłocznie angażować się, dzielić inteligencję w branży i zapobiegać dalszemu kompromisowi”.
Source: FBI Ostrzeżenia: rozproszony pająk atakuje linie lotnicze za pośrednictwem inżynierii społecznej
