Федеральное бюро расследований (ФБР) выпустило критически важную общественную консультацию, подчеркивая эскалацию в кибератаках, специально предназначенных для авиационной отрасли. Пресловутый хакерский коллектив, известный как разбросанный паук, ранее признанный за нападения в секторах розничной торговли и страхования, в настоящее время расширяет свои вредоносные сферу, представляя значительную угрозу для глобальной инфраструктуры авиаперевозки. В предупреждении агентства подчеркивается растущая зависимость группы от сложной тактики социальной инженерии, чтобы манипулировать персоналом службы поддержки, тем самым получая несанкционированный доступ к конфиденциальным внутренним системам.
Согласно ФБР, разбросанный образцы паука часто включает в себя убеждение персонала службы поддержки в обходе важнейшей многофакторной защиты аутентификации (MFA). Это часто достигается путем убеждения их зарегистрировать мошеннические устройства MFA на скомпрометированные счета. Оказавшись внутри сети, эти злоумышленники работают с замечательной скоростью и эффективностью, участвуя в различных незаконных действиях, включая кражу данных, требование выплат выкупа и в некоторых серьезных случаях, развертывая вымогатели, чтобы нанести ущерб операционным возможностям организации. Этот быстрый прогресс от первоначального доступа к полномасштабным нарушениям подчеркивает срочность предупреждения ФБР.
Эксперты по кибербезопасности согласны с тем, что эффективность группы связана с их глубоким пониманием поведения человека в сложных корпоративных системах. Джон Хулквист, главный аналитик Google Intelligence Group, отметил в отчете Проводной«Эта группа осуществляет серьезные атаки на нашу критическую инфраструктуру. Они определили значительный пробел в наших системах безопасности, которым они успешно используют». Это утверждение подчеркивает критическую уязвимость, используемую рассеянным пауком: человеческий элемент в рамках ИТ -безопасности.
Предупреждение ФБР появляется на фоне недавних кибер -инцидентов, о которых сообщалось несколько выдающихся авиакомпаний. В последние недели и Westjet, и Hawaiian Airlines публично признали нарушения. Кроме того, австралийский перевозчик Qantas подтвердил кибератаку, хотя она не сразу связала инцидент с рассеянным пауком. Сэм Рубин из подразделения 42 от Networks от Palo Alto отправился в LinkedIn, чтобы поднять тревогу, срочно посоветуя авиационным фирмам поддерживать статус «высокого внимания» в отношении потенциальных поддельных запросов MFA и сброса и сложных попыток подражания. Повторяя эту проблему, Mandiant Google, как сообщает Рейтерзаявил, что он наблюдал «многочисленные инциденты в авиакомпании и вертикали транспорта», которые имеют поразительное сходство с различным подходом Sparted Spider. Чарльз Кармакал, директор по технологиям Mandiant, настоятельно рекомендовал: «Мы рекомендуем, чтобы отрасль немедленно предприняла шаги, чтобы ужесточить процессы проверки идентификации службы поддержки».
Разбросанный паук, неуловимый и жидкий коллектив, известен в различных псевдонимах, включая UNC3944, запутанные Весы и Octo Tempest. Группа имеет задокументированную историю атаки в нескольких секторах в последовательных волнах. До того, как нацеливаться на авиакомпании, они успешно проникли в телекоммуникационные поставщики, институты финансовых услуг и розничные продавцы, последовательно использовав аналогичные методы для получения несанкционированного доступа, экстраттратовых конфиденциальных данных и впоследствии требуют существенных выпадок. В недавнем отчете Reliaquest подробный отчет о нарушении с участием финансового директора неназванной компании. В этом инциденте нападавшие тщательно собрали личные данные финансового директора, а затем успешно убедили Справочную службу по его службе сбросить полномочия и устройства MFA. Благодаря полному доступу хакеры проникли в критические системы, включая SharePoint, Horizon Virtual Desktop и VMware, украли конфиденциальные данные и в отчаянной попытке «выжженного земля» после обнаружения, даже отключенных брандмауэров.
Считается, что Scattered Spider является неотъемлемой частью более широкого подземного сообщества, известного как «Com», которое также включает в себя другие известные группы, такие как Lapsus $. Коллектив в основном состоит из англоговорящих подростков и молодых людей, которые часто работают с таких платформ, как Discord и Telegram, используя эти каналы, чтобы делиться тактикой и праздновать их «победы» со сверстниками. Блок 42, команда разведки угроз Пало -Альто, отметила: «Эта группа развивалась на платформах коммуникации Discord и Telegram, привлекая участников из разных слоев общества и интересов». Эта сплоченная организационная структура делает группу особенно сложной для демонтажа, а их быстрая кривая обучения в сочетании с их совместной природой только усиливает их опасность для критической инфраструктуры.
Эксперты последовательно соглашаются с тем, что эффективная защита от рассеянного паука требует значительного подкрепления процедур проверки идентификации, особенно на решающем уровне службы помощи. Команда Mandiant от Google Cloud специально рекомендует несколько ключевых действий: тщательно проверка личности, прежде чем утверждать какие -либо изменения в устройствах или учетных данных MFA; Обеспечение комплексного обучения ИТ-командам, чтобы они могли распознать реальную тактику социальной инженерии; разделение личности на протяжении всей инфраструктуры организации для ограничения бокового движения; и укрепление надежных критериев аутентификации во всех системах. Организациям, которые подозревают, что они были нацелены на то, что они предназначены, настоятельно рекомендуется сообщить об инцидентах незамедлительно. ФБР подчеркнуло в своем предупреждении: «Ранняя отчетность позволяет ФБР быстро заниматься, делиться разведкой по всей отрасли и предотвращать дальнейшие компромисс».
Source: ФБР предупреждает: рассеянные пауки атакуют авиакомпании через социальную инженерию
