Τα τελευταία χρόνια, μία κινεζική ομάδα hacking πιστεύετε ότι βρίσκεται πίσω από δεκάδες επιθέσεις που έχουν πραγματοποιηθεί εναντίον αεροπορικών εταιρειών, προκειμένου να κλέψει στοιχεία επιβατών για να παρακολουθεί ορισμένους από αυτούς.
Οι επιθέσεις έχουν συνδεθεί με μία ομάδα κακόβουλων παραγόντων με το όνομα Chimera.
Πιστεύεται ότι δραστηριοποιείται προς για χάρη του κινεζικού κράτους. Η CyCraft ήταν η πρώτη που περιέγραψε τις δραστηριότητες της ομάδας hacking το 2020.
Η αρχική έκθεση ανέφερε μια σειρά συντονισμένων επιθέσεων κατά της βιομηχανίας υπεραγωγών της Ταϊβάν.
Ωστόσο, σε μια νέα έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα από τον Όμιλο NCC και τη θυγατρική του Fox-IT, οι επιθέσεις είναι ευρύτερες από ό, τι αρχικά πίστευαν, έχοντας επίσης στοχεύσει στην αεροπορική βιομηχανία.
“Η NCC Group και η Fox-IT παρατήρησαν αυτόν τον παράγοντα απειλής κατά τη διάρκεια διαφόρων περιστατικών που πραγματοποιήθηκαν μεταξύ Οκτωβρίου 2019 και Απριλίου 2020”, ανέφεραν οι δύο εταιρείες.
Αυτές οι επιθέσεις είχαν σαν στόχο εταιρείες ημιαγωγών και αεροπορικές εταιρείες σε διάφορες περιοχές και όχι μόνο στην Ασία, ανέφεραν η NCC και η Fox-IT.
Σε ορισμένες περιπτώσεις μάλιστα, οι hackers παρέμειναν κρυμμένοι μέσα σε δίκτυα για έως και τρία χρόνια πριν να ανακαλυφθούν.
Ενώ οι επιθέσεις εναντίον της βιομηχανίας ημιαγωγών είχαν ως στόχο την κλοπή πνευματικής ιδιοκτησίας (IP), οι επιθέσεις κατά της αεροπορικής βιομηχανίας επικεντρώθηκαν σε κάτι άλλο.
“Η στόχευση ορισμένων θυμάτων φαίνεται να έγινε για την απόκτηση PNR (Passenger Name Records)”, ανέφεραν οι δύο εταιρείες.
“Ο τρόπος λήψης αυτών των δεδομένων πιθανότατα διαφέρει ανά θύμα, αλλά παρατηρήσαμε τη χρήση πολλών προσαρμοσμένων αρχείων DLL που χρησιμοποιούνται για τη συνεχή ανάκτηση δεδομένων PNR από τη μνήμη συστημάτων, όπου αυτά τα δεδομένα τυπικά υποβάλλονται σε επεξεργασία, όπως διακομιστές κρατήσεων πτήσεων.”
Η κοινή έκθεση NCC και Fox-IT περιγράφει επίσης την τυπική διαδικασία που ακολουθεί η ομάδα hacking Chimera. Συνήθως ξεκινά με τη συλλογή διαπιστευτηρίων σύνδεσης χρήστη που διέρρευσαν μετά από παραβιάσεις δεδομένων σε άλλες εταιρείες.
Αυτά τα δεδομένα χρησιμοποιούνται για παραμόρφωση διαπιστευτηρίων ή επιθέσεις στους κωδικούς πρόσβασης των υπαλλήλων, όπως λογαριασμοί email.
Όταν εισέλθουν σε ένα εσωτερικό δίκτυο, οι εισβολείς αναπτύσσουν συνήθως το Cobalt Strike, ένα πλαίσιο δοκιμής διείσδυσης, το οποίο χρησιμοποιούν για να μετακινούνται πλευρικά σε όσο το δυνατόν περισσότερα συστήματα, αναζητώντας λεπτομέρειες IP και επιβατών.
Οι δύο εταιρείες ασφαλείας δήλωσαν ότι οι hackers ήταν υπομονετικοί και διεξοδικοί και έψαχναν μέχρι να βρουν τρόπους να διασχίσουν τμήματα δικτύων για να φθάσουν σε συστήματα ενδιαφέροντος.
Μόλις έβρισκαν τα δεδομένα που αναζητούσαν, τα ανέβαζαν τακτικά σε δημόσιες υπηρεσίες cloud όπως το OneDrive, το Dropbox ή το Google Drive, γνωρίζοντας ότι η επισκεψιμότητα προς αυτές τις υπηρεσίες δεν επιθεωρείτε ούτε μπλοκάρετε μέσα σε παραβιασμένα δίκτυα.
Παρόλο που η αναφορά των NCC και Fox-IT δεν λέει με σιγουριά γιατί η ομάδα hacking στόχευσε την αεροπορική βιομηχανία και γιατί έκλεψε τα δεδομένα επιβατών, είναι αρκετά προφανές.
Είναι πολύ συνηθισμένο οι κρατικές ομάδες hacking να στοχεύουν αεροπορικές εταιρείες, ξενοδοχειακές αλυσίδες και τηλεπικοινωνίες για τη λήψη δεδομένων που θα μπορούσαν να χρησιμοποιήσουν για την παρακολούθηση των κινήσεων και των επικοινωνιών των προσώπων που τους ενδιαφέρουν.
