Ataque monumental a la cadena de suministro de aerolíneas atribuible al actor estatal - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Ataque monumental a la cadena de suministro de aerolíneas atribuible al actor estatal

Hola, un placer verte por aquí. Soy Eduardo Arroyo y en esta ocasión hablaremos sobre Ataque monumental a la cadena de suministro de aerolíneas atribuible al actor estatal

Ataque monumental a la cadena de suministro de aerolíneas atribuible al actor estatal

Se aconseja a las aerolíneas que rastreen las redes en busca de rastros de la campaña, probablemente obra de APT41, que acecha en las redes.

Un ciberataque monstruoso contra SITA, un proveedor global de TI para el 90% de la industria de la aviación del mundo, se está desarrollando lentamente para revelar el mayor ataque a la cadena de suministro contra la industria de la aviación de la historia.

La filtración masiva de datos, que se estima que ya ha afectado a 4,5 millones de pasajeros, se ha podido rastrear hasta el actor de amenazas APT41, patrocinado por el estado chino, y los analistas advierten a las aerolíneas que busquen cualquier rastro de la campaña oculto dentro de sus redes.

SITA anunció el ataque en marzo y poco después Singapore y Malaysia Airlines fueron las primeras aerolíneas en revelar que los datos personales de sus clientes habían sido expuestos. Más recientemente, el cliente de SITA, Air India, informó de un ataque a sus sistemas.

«Después de que Air India reveló los detalles de su violación de seguridad, quedó claro que los transportistas probablemente se estaban enfrentando a uno de los mayores ataques a la cadena de suministro en la historia de la aviación», dijo Nikita, analista de Group-IB. Rostovcev en un informe reciente en el descubrimiento.

El nombre en clave de la campaña es ColunmTK, dice el informe de Group-IB, que los investigadores crearon combinando los dos primeros dominios utilizados para el túnel de DNS en el ataque: ns2[.]columna[.]tk y ns1[.]columna[.]tk.

Air India emitió su primera declaración pública sobre su incumplimiento el 21 de mayo, sin embargo, solo más tarde el Grupo-IB rastreó sus orígenes hasta SITA, que es responsable de procesar los datos personales de los clientes de la aerolínea. Añadiendo a los clientes de Air India, el ataque de SITA ahora ha afectado a 4,5 millones de personas, según el informe.

Group-IB dijo que el ataque de Air India duró al menos dos meses y 26 días. Sin embargo, los investigadores señalaron que los actores de la amenaza solo tardaron «24 horas y 5 minutos en difundir las balizas Cobalt Strike a otros dispositivos de la red de la aerolínea».

Poco después de la divulgación de Air India, una base de datos de clientes supuestamente exfiltrados por Air India se puso a la venta en un sitio de pérdidas por $ 3,000.

Al principio, los analistas de Group-IB pensaron que la base de datos era falsa porque no aparecía en la Dark Web, pero al mirar más de cerca, «el equipo de Inteligencia de Amenazas de Group-IB rápidamente se dio cuenta de que tenían que lidiar con una sofisticada amenaza de estado-nación». actor en lugar de otro grupo de ciberdelincuentes motivados financieramente ”, agrega el informe.

Los analistas descubrieron que el servidor de comando y control (C2) involucrado en el ataque de Air India comenzó a comunicarse con un servidor de procesamiento de datos de SITA (el método de compromiso inicial no está claro) y luego comenzó a moverse lateralmente en la red.

«Los atacantes extrajeron los hash NTLM y las contraseñas de texto sin formato de las estaciones de trabajo locales utilizando hashdump y Mimikatz», informó Group-IB. “Los atacantes intentaron aumentar los privilegios locales con la ayuda del malware BadPotato. BadPotatoNet4.exe se cargó en uno de los dispositivos dentro de la red de la víctima con el nombre SecurityHealthSystray.exe. «

El equipo estimó que al menos 20 dispositivos en la red de Air India se vieron comprometidos durante esta fase de desplazamiento lateral, y agregó que «los atacantes utilizaron solicitudes de DNS-txt para conectar los bots al servidor C2».

Los investigadores pudieron vincular las direcciones IP controladas por APT41 con las utilizadas en el ataque de Air India y dijeron que el incidente mostró similitudes con el ataque de SITA y otros hechos por APT41. Por lo tanto, los analistas de Group-IB creen con «moderada confianza» que la campaña ColunmTK fue perpetrada por APT41 (también conocido como Wicked Panda, Wicked Spider, Winnti y Barium), un grupo que ha estado activo desde 2007 y se sabe que se especializa en ataques de suministro encadenar.

APT41 es conocido por el ciberespionaje y el ciberdelito financiero apoyados por el estado a nivel nacional. El Departamento de Justicia dijo el año pasado que el grupo «facilitó el robo de código fuente, certificados de firma de código de software, datos de cuentas de clientes e información corporativa valiosa», lo que a su vez «facilitó otros esquemas criminales, incluidos ransomware y cryptojacking».

En 2020, el Departamento de Justicia acusó a cinco presuntos perpetradores, todos residentes y ciudadanos de la República Popular China (PRC), de infringir más de 100 empresas victimizadas en los Estados Unidos y en el extranjero, incluidas empresas de desarrollo de software y fabricantes de hardware informático. , proveedores de telecomunicaciones, empresas de redes sociales, empresas de videojuegos, organizaciones sin fines de lucro, universidades, grupos de expertos y gobiernos extranjeros, así como políticos y activistas prodemocracia en Hong Kong.

Si el equipo del Grupo IB tiene razón, este actor estatal chino está sentado en una impresionante colección de datos de viajes. Ahora depende de las aerolíneas asegurarse de tener el problema bajo control, según John Bambenek de Netenrich.

«Las aerolíneas tienen una gran cantidad de información que interesa a las agencias de inteligencia», dijo Bambenek a Threatpost por correo electrónico. “A China, en particular, le gustaría recopilar los patrones de viaje de las personas asociadas con los objetivos de su aparato de seguridad nacional. Todas las aerolíneas deberían tomar nota de este informe y buscar estos indicadores en sus entornos ”.

.

Deberías compartir en en tu Twitter y Facebook para que tus amigos lo sepan

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *