Η JTB Corp, ένα από τα μεγαλύτερα ταξιδιωτικά γραφεία της Ιαπωνίας, ανακοίνωσε ότι υπέστη παραβίαση των δεδομένων της, όπου ένας άγνωστος έκλεψε τα προσωπικά στοιχεία από περισσότερους από 7.930.000 χρήστες.
Σύμφωνα με την εταιρεία ασφάλειας Cylance, η παραβίαση έλαβε χώρα αφότου ένας από τους υπαλλήλος της εταιρείας είχε ανοίξει ένα κακόβουλο έγγραφο του Microsoft Word που έλαβε ως συνημμένο σε ένα spear-phishing e-mail.
Οι επιτιθέμενοι χρησιμοποίησαν το PlugX και το Elirks malware.
Το έγγραφο ήταν “δεμένο” με το PlugX (Korplug) malware, ένα Trojan απομακρυσμένης πρόσβασης (RAT) που έκανε δυνατή την πρόσβαση του εισβολέα στον υπολογιστή του εργαζομένου.
Το spear-phishing e-mai ήταν αποτελεσματικό, επειδή φαινόταν να είναι ένα αίτημα για ταξιδιωτική κράτηση από το All Nippon Airways Co, μία από τις αεροπορικές εταιρείες της Ιαπωνίας.
Μετά τη μόλυνση του υπολογιστή του εργαζομένου με PlugX, οι απατεώνες εγκατέστησαν την Elirks backdoor trojan που τους επέτρεψε να κλέψουν οποιαδήποτε δεδομένα που θεωρούταν σημαντικά.
Οι λεπτομέρειες και το χρονοδιάγραμμα της επίθεσης ταιριάζουν απόλυτα με τις ανακαλύψεις του Palo Alto Network, όπου την περασμένη εβδομάδα, αποκάλυψε λεπτομέρειες για πολλαπλές επιθέσεις στον κυβερνοχώρο εναντίον ιαπωνικών επιχειρήσεων, χρησιμοποιώντας το PlugX και το Erliks malware.
Αυτές οι επιθέσεις και το κακόβουλο λογισμικό συνδέθηκαν με τους Κινέζους threat actors.
Έχουν κάνει την εμφάνιση τους τακτικά σε εκστρατείες που έχουν να κάνουν με την κυβερνο-κατασκοπεία, αλλά δεν είναι ασχολούνται αποκλειστικά και μόνο με τους εν λόγω τύπους επιθέσεων.
Η Nikkei, ένα ιαπωνικό πρακτορείο ειδήσεων αναφέρει ότι οι επιτιθέμενοι έκλεψαν τα δεδομένα χρήστη, όπως ονόματα πελατών, διευθύνσεις κατοικίας, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς διαβατηρίων.
Από αυτούς, πάνω από 4.300 αριθμοί ήταν για έγκυρους κωδικούς πρόσβασης, επιβεβαίωσε ένας εκπρόσωπος της JTB στη Nikkei.
“Ζητάμε συγγνώμη για τα προβλήματα και την ανησυχία που προκαλέσαμε στους πελάτες μας και στους υπόλοιπους ανθρώπους”
Δήλωσε ο Hiroyuki Takahashi, Πρόεδρος της JTB σε συνέντευξη τύπου πριν από δύο εβδομάδες.
Τα Ιαπωνικά μέσα ενημέρωσης δεν έχουν αναφέρει εάν τα κλεμμένα δεδομένα χρησιμοποιήθηκαν σε κάποια συναλλαγή, αλλά οι απατεώνες τείνουν να συσσωρεύουν τα δεδομένα πριν από τη χρήση τους, η οποία είναι συνήθως μετά από μερικά χρόνια.
