Cyberataki na linie lotnicze. Jak działają hakerzy?

Autor. Pascal Borener/Pexels
W ostatnich tygodniach sektor lotniczy znalazł się w centrum zainteresowania cyberprzestępców. Grupa hakerów Scattered Spider, znana z zaawansowanych technik inżynierii społecznej oraz działań w środowiskach chmurowych, zaczęła przejawiać szczególne zainteresowanie liniami lotniczymi.
Linie lotnicze stanowią atrakcyjny cel ze względu na dostęp do danych osobowych milionów pasażerów oraz fakt, że są częścią infrastruktury krytycznej. Każdy element łańcucha dostaw, od infolinii po zewnętrznych dostawców IT, może posłużyć hakerom jako punkt wejścia.
Kim są Scattered Spider?
Jest to grupa hakerów, znana również jako UNC3944, Octo Tempest czy Muddled Libra. Działa aktywnie od około 2022 roku. Jej członkowie to przeważnie młodzi ludzie (w wieku 19–22 lat) pochodzący ze Stanów Zjednoczonych i Wielkiej Brytanii. Ich działania koncentrują się głównie na kradzieży danych i wymuszeniach.
Czytaj też
FBI ujawnia sposób przeprowadzania ataków przez Scattered Spider
Scattered Spider jest na celowniku FBI od dłuższego czasu. Niedawno biuro potwierdziło, że to właśnie ta grupa może stać za atakiem na Hawaiian Airlines.
Jak podaje PAP, firma została zaatakowana na początku tygodnia. Incydent miał zakłócić działanie niektórych systemów IT. Jednak według hawajskiego przewoźnika sytuacja nie wpłynęła na bezpieczeństwo lotów i pasażerów.

Autor. Eric Salard/ Flickr
Ataki Scattered Spider przeprowadzane są za pomocą inżynierii społecznej, czyli psychologicznej manipulacji jednostki w celu skłonienia do wykonania działań lub ujawnienia wrażliwych informacji.
Członkowie grupy podszywają się pod pracowników lub kontrahentów, aby nakłonić dział pomocy IT do przyznania im dostępu, tak aby ominąć uwierzytelnianie wieloskładnikowe (MFA). Po dostaniu się do środka hakerzy kradną wrażliwe dane w celu wymuszenia okupu (ransomware).
Celem Scattered Spider są duże korporacje i ich zewnętrzni partnerzy, co naraża cały ekosystem linii lotniczych – również zaufanych dostawców i wykonawców.
ALERT—The FBI has recently observed the cybercriminal group Scattered Spider expanding its targeting to include the airline sector. These actors rely on social engineering techniques, often impersonating employees or contractors to deceive IT help desks into granting access.… pic.twitter.com/gowmbsAbBY
— FBI (@FBI) June 27, 2025
Czytaj też
Australijska linia lotnicza ofiarą cyberataku
Jak podaje Financial Times, dzień po wydaniu ostrzeżenia przez FBI, australijskie linie lotnicze Qantas potwierdziły, że padły ofiarą cyberataku, w wyniku którego mogło dojść do wycieku danych osobowych aż 6 milionów klientów.
Wyciek obejmowałby m.in. imię, adres e-mail, numer telefonu, datę urodzenia oraz numer członkowski programu Frequent Flyer. Spółka zapewniła, że informacje finansowe, hasła oraz numery kart i paszportów pozostały bezpieczne.
Do incydentu doszło najprawdopodobniej w wyniku tzw. vishingu, czyli oszustwa telefonicznego, podczas którego sprawca podszył się pod pracownika lub kontrahenta, aby uzyskać dostęp do systemu.

Autor. Pxhere
Różne techniki w akcji
Linia lotnicza nie potwierdziła czy padła celem Scattered Spider, jednak charakter ataku wskazuje na metody typowe dla tej grupy.
Taktyki i techniki stosowane przez jej członków opisuje baza wiedzy MITRE ATT&CK. Spośród nich poniższe mogą sugerować, że to własnie omawiana grupa stoi za atakiem na australijskie linie lotnicze:
- T1566 (Wyłudzanie informacji: Spearphishing głosowy) - podszycie się pod prawdziwy personel IT w rozmowach telefonicznych, aby nakłonić pracownika do pobrania narzędzia do zdalnego monitorowania i zarządzania (RMM), które pozwoliłoby na zdalne kontrolowanie systemu.
- T1087.003 (Wykrywanie kont: Konta e-mail) – identyfikacja adresów e-mail po uzyskaniu dostępu do systemu.
- T1133 (External Remote Services) - Scattered Spider wykorzystuje narzędzia do zdalnego zarządzania, aby utrzymać stały dostęp.
- T1087 (Wykrywanie plików i katalogów) - określa listę docelowych plików i katalogów, w tym kodu źródłowego, które interesują atakujących.
- T1556.006 (Modyfikacja procesu uwierzytelniania: Uwierzytelnianie wieloskładnikowe) - po przejęciu kont użytkowników, Scattered Spider rejestruje własne tokeny MFA.
Pozostałe techniki wykorzystywane przez grupę:

Autor. MITRE ATT&CK
Czytaj też
Spektakularne ataki w przeszłości
Scattered Spider ma już na koncie wiele spektakularnych ataków. Jednym z najbardziej znanych był incydent z września 2023 r. w MGM Resorts International. Grupa wykorzystała socjotechnikę, by uzyskać dostęp do wewnętrznych systemów, a następnie przeprowadziła atak ransomware. Zakłócone zostało działanie automatów do gier, systemów rezerwacji i dostępu do pokoi – szkody oszacowano na ponad 100 milionów dolarów.
Ataki grupy Scattered Spider są doskonałym przykładem wykorzystywania największej słabości systemów bezpieczeństwa – człowieka. Już dziś warto wdrożyć szkolenia pracowników, by zwiększyć ich świadomość na temat ataków socjotechnicznych oraz potencjalnych konsekwencji takich zagrożeń.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
SK@NER: Jak przestępcy czyszczą nasze konta?