Cyberataki na linie lotnicze. Jak działają hakerzy?

Linie lotnicze stanowią atrakcyjny cel ze względu na dostęp do danych osobowych milionów pasażerów oraz fakt, że są częścią infrastruktury krytycznej. Każdy element łańcucha dostaw, od infolinii po zewnętrznych dostawców IT, może posłużyć hakerom jako punkt wejścia.

Kim są Scattered Spider?

Jest to grupa hakerów, znana również jako UNC3944, Octo Tempest czy Muddled Libra. Działa aktywnie od około 2022 roku. Jej członkowie to przeważnie młodzi ludzie (w wieku 19–22 lat) pochodzący ze Stanów Zjednoczonych i Wielkiej Brytanii. Ich działania koncentrują się głównie na kradzieży danych i wymuszeniach.

FBI ujawnia sposób przeprowadzania ataków przez Scattered Spider

Scattered Spider jest na celowniku FBI od dłuższego czasu. Niedawno biuro potwierdziło, że to właśnie ta grupa może stać za atakiem na Hawaiian Airlines.

Jak podaje PAP, firma została zaatakowana na początku tygodnia. Incydent miał zakłócić działanie niektórych systemów IT. Jednak według hawajskiego przewoźnika sytuacja nie wpłynęła na bezpieczeństwo lotów i pasażerów.

Ataki Scattered Spider przeprowadzane są za pomocą inżynierii społecznej, czyli psychologicznej manipulacji jednostki w celu skłonienia do wykonania działań lub ujawnienia wrażliwych informacji.

Członkowie grupy podszywają się pod pracowników lub kontrahentów, aby nakłonić dział pomocy IT do przyznania im dostępu, tak aby ominąć uwierzytelnianie wieloskładnikowe (MFA). Po dostaniu się do środka hakerzy kradną wrażliwe dane w celu wymuszenia okupu (ransomware.

Celem Scattered Spider są duże korporacje i ich zewnętrzni partnerzy, co naraża cały ekosystem linii lotniczych – również zaufanych dostawców i wykonawców.

Australijska linia lotnicza ofiarą cyberataku

Jak podaje Financial Times, dzień po wydaniu ostrzeżenia przez FBI, australijskie linie lotnicze Qantas potwierdziły, że padły ofiarą cyberataku, w wyniku którego mogło dojść do wycieku danych osobowych aż 6 milionów klientów.

Wyciek obejmowałby m.in. imię, adres e-mail, numer telefonu, datę urodzenia oraz numer członkowski programu Frequent Flyer. Spółka zapewniła, że informacje finansowe, hasła oraz numery kart i paszportów pozostały bezpieczne.

Do incydentu doszło najprawdopodobniej w wyniku tzw. vishingu, czyli oszustwa telefonicznego, podczas którego sprawca podszył się pod pracownika lub kontrahenta, aby uzyskać dostęp do systemu.

Różne techniki w akcji

Linia lotnicza nie potwierdziła czy padła celem Scattered Spider, jednak charakter ataku wskazuje na metody typowe dla tej grupy.

Taktyki i techniki stosowane przez jej członków opisuje baza wiedzy MITRE ATT&CK. Spośród nich poniższe mogą sugerować, że to własnie omawiana grupa stoi za atakiem na australijskie linie lotnicze:

• T1566 (Wyłudzanie informacji: Spearphishing głosowy) - podszycie się pod prawdziwy personel IT w rozmowach telefonicznych, aby nakłonić pracownika do pobrania narzędzia do zdalnego monitorowania i zarządzania (RMM), które pozwoliłoby na zdalne kontrolowanie systemu.
• T1087.003 (Wykrywanie kont: Konta e-mail) – identyfikacja adresów e-mail po uzyskaniu dostępu do systemu.
• T1133 (External Remote Services) - Scattered Spider wykorzystuje narzędzia do zdalnego zarządzania, aby utrzymać stały dostęp.
• T1087 (Wykrywanie plików i katalogów) - określa listę docelowych plików i katalogów, w tym kodu źródłowego, które interesują atakujących.
• T1556.006 (Modyfikacja procesu uwierzytelniania: Uwierzytelnianie wieloskładnikowe) - po przejęciu kont użytkowników, Scattered Spider rejestruje własne tokeny MFA.

Pozostałe techniki wykorzystywane przez grupę:

Spektakularne ataki w przeszłości

Scattered Spider ma już na koncie wiele spektakularnych ataków. Jednym z najbardziej znanych był incydent z września 2023 r. w MGM Resorts International. Grupa wykorzystała socjotechnikę, by uzyskać dostęp do wewnętrznych systemów, a następnie przeprowadziła atak ransomware. Zakłócone zostało działanie automatów do gier, systemów rezerwacji i dostępu do pokoi – szkody oszacowano na ponad 100 milionów dolarów.

Ataki grupy Scattered Spider są doskonałym przykładem wykorzystywania największej słabości systemów bezpieczeństwa – człowieka. Już dziś warto wdrożyć szkolenia pracowników, by zwiększyć ich świadomość na temat ataków socjotechnicznych oraz potencjalnych konsekwencji takich zagrożeń.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].