Incident cyber sigurnosti na australijskoj aviokompanijima koji potiče kroz kompromis kontaktnog centra treće strane, prevrtan je sa tekućom kampanjom cyber napada orkestriranog kolekcionarskog kolektiva poznatog kao raštrkanim paukom, koji su ranije ciljali u aprilu i maju.
U petak, 27. juna, analitičari u lovačkoj jedinici za prijetnju Google Cloud-a, rekli su da istražuju više od jednog raštrkanog kibernetičkog napada koji uključuje vazduhoplovstvo, kao veslanstveno širenje cyber napada na američkoj aviokompaniji Havajski, a kanadski operater Weadet je radio u tome da sadrže još jedan incident.
Poznat je da raštrkani pauk favorizira sektorsko-sektorski pristup njegovom ciljanju, fokusirajući se na jednu vertikalnu po jednu vrijeme prije nego što krenemo. Njegova trenutna politička aktivnost usredotovala se u prvom Velike Britaniji i američkim maloprodajnim sektorima, a slijede osiguravajuća društva, prije nego što su se prešli na zrakoplovstvo, pa je predviđeno više napada na sektor.
Qantas kršenje, koji je prvi put otkriven u ponedjeljak, 30. juna, vidio je da cyber zločinci dobiju pristup platformi za korisničku uslugu u viktimiziranom kontakt centru, odakle su uspjeli exfiltratirati podatke o oko šest miliona ljudi.
Prema prijevozniku Aussie Flag, podaci uključuju imena, adrese e-pošte, telefonske brojeve, datume rođenja i česte brojeve leta, ali ne i podatke o kreditnoj kartici, podatke o kreditnoj kartici, podatke o kreditnoj kartici, podatke o kreditnoj kartici, podatke o kreditnoj kartici.
Da li je raštrkani pauk uključen?
Dolazeći samo danima nakon Mandiant-a upozorio na cyber napade na aviokompanijima raštrkanog pauka kolektiv, incident Qantas prirodno je povezan sa bandom.
Međutim, Charles Carmakal, mandiant Consulting Glavni službenik za tehnologiju, koji je izdao prošlogodišnji upozorenje, rekao je da bi bilo nerazumno napraviti firmu atribuciju u ovoj fazi.
“Dok je raštrkani pauk ima istoriju ciljanih globalnih organizacija, uključujući i one u Australiji, prerano je da se kaže da li su proširili trenutnu ciljanje australijskim aviokompanskim organizacijama”, rekao je Carmakal danas putem e-maila.
“Različiti akteri za prijetnju koriste kompromisno socijalno inženjerstvo, uključujući financijski motivirani akter za prijetnju koji nazivamo UNC6040. Organizacije koje provodi phis-lilineske organizacije trebaju biti na visokom upozorenju na napad na društvenim inženjerstvom i povećanju verifikacije identiteta uroboj njihovih stolova za pomoć.”
Toby Lewis, globalni šef analize prijetnje u Darktraceu, rekao je: “Qantasov cyber kršenje nosi obilježja raštrkanog pauka, iste grupe iza nedavnih napada na havajske aviokompanije, Westjet i Marks i Spencer-a – vjerojatno kroz kompromitiranje treće strane SaaS platforme.
“Napad prati njihovu tipičnu knjigu o reprezentaciji: Ukradite legitimne vjerodajnice za prijavu za šetnju u sustavima gdje se kritična sigurnosna zaštita često nisu omogućena, dok djeluju iz zapadnih zemalja da se pojave kao legitimni korisnici i zaobilaze standardne sigurnosne filtre.”
Kontakt centri i slušalici često su ciljevi
Ciljanje dobavljača kontaktnog centra za Qantas takođe se usklađuje sa osnovanim modusom Grupe – raštrkani paukove članice imaju duge ciljane kontaktne centare i na napadima na Kazinu u Las Vegasu u 2023. godini nastalo je da su žrtve OKTA-e porijeklom u Las Vegas u 2023. godine.
Bilo da se interno ili eksterno pokreće, naigra se na ovim dijelovima svojih operacija koje bi organizacije u zrakoplovnom sektoru trebale usmjeriti njihov fokus. Helpdesk i radnici za korisnike su vrlo vrijedni ciljevi jer imaju povišeni pristup sistemima za obavljanje radnji kao što su vjerodajnici resetira ili upisani novi uređaj za provjeru autentičnosti MFA.
Prema Snimku Spider-a u Palo Alto mrežima 42, razbacani Spider ciljevi pomaže sredstva koristeći mješavinu otvorenog koda Intel i prethodno kompromitirani podaci. Njeni članovi provode vrlo uvjerljive i uporne napade na ove agente koji su fokusirani na nošenje i na kraju dajući njihovim zahtjevima.
Organizacije bi trebale razmotriti implementaciju poboljšanog procesa za provjeru i provjeru autentičnosti zahtjeva za resetiranje lozinke. Na primjer, to bi moglo zahtijevati postupak dvostruko provjere u kojem nijedna nijedna osoba nije u stanju da pokrene resetiranje lozinke. Neke organizacije za obezbeđenje čak i pitaju da se njihovi zaposlenici pojave na web kameru sa vladinim ID-om kako bi potvrdili njihov legitimitet.
Qantas kršenje dodatno naglašava potrebu za organizacijama svih vrsta da nastave usmjeravati napore sa cyber otpornošću na svoj ekosustav dobavljača treće strane. Avijacijski sektor se u velikoj mjeri oslanja na takve pružatelje usluga za mnoge dijelove svojih operacija, a mnogi od tih pružatelja usluga rade s velikim mnogim aviokompanijama, čineći ih još vjerovatnijim ciljevima.
Iz sigurnosne perspektive, integriranje trećih strana u poslovanje može biti dugačka i često prepuna svrha, ali je važno da se ispravi, uspostavljanje minimalnih sigurnosnih standarda, osiguravajući obje strane, koje su odgovorne za segmentaciju sistema i stroge kontrole pristupa i održavanje stalne aktivnosti aktivnosti treće strane.
Ako je podržano prisilnim MVP-om, paranoičnim nivoom vjerodajnice higijene, česte provjere integriteta krajnjeg točke i prevenciju gubitaka sa sadržajem (DLP), moguće je uspostaviti model u kojem sigurnosne razlike u lancu postaju manje problema.
Vrijeme putovanja u vrhuncu
Raštrkani paukov novi fokus na aviokompanijima, koji dolazi na početku ljetne turističke sezone za sjevernu hemisferu, znači da će utjecati na Cyber incident Qantas-a vjerovatno povećati, a ne u smislu njenog utjecaja na žrtvu i njene kupce, ali u pogledu javnosti, i u pogledu javnosti, i u pogledu javnosti i u pogledu javnosti, i u pogledu javnosti.
Cyber kriminalisti se razlikuju, ali u razbacujućim paukovim slučajevima banda, u velikoj mjeri sačinjeni od labavih pridruženih hakera koji govore engleski jezik, toliko je zabrinuto zbog invalidnosti i notosti, kao što je riječ o financijskoj dobi. Kao takav, njegovi članovi često će nastojati maksimizirati utjecaj svojih napada tako što ih je odredio na ključne datume u kalendarima svojih žrtava.
U slučaju trenutnog kriminala GANG-a, to je možda najbolje svjedočiti o vremenu incidenta marki i Spencera (M & S), koji su pre uskrsne praznike u Velikoj Britaniji, kada bi lančane prehrambene dvorane prepune kupaca koji kupuju i nadaju toplo vrijeme.
Međutim, nedavna povijest je oslanjana primjerima cyber napada na tempiraju se desno prije prazničnih razdoblja kada osoblje sigurnosti može biti van posla ili ne obraćajući pažnju. Čudo, napad Revil Revil Rensomware na Kaseya i njegove pupčane kupce odvijali su se neposredno prije odvjetničkog vikenda za praznike 4. jula.
Napadi se često odvijaju na uobičajenim petak popodne iz sličnih razloga, a činjenica da je Qantas kršenje otkriveno u ponedjeljak, ali nije konačan dokaz – da je to ovdje možda bio slučaj.
Sljedeći koraci za Qantas putnike
Osjetljivom prirodom podataka moraju se održati na njihovim uslugama, aviokompanije su previše primamljivo da se otpor za cyber napade protiv njih, a niti je eksploatacija podataka ukrcanih u prethodna kršenja u Britanskim akretama i Easyjet u Velikoj Britaniji i EasyJet u Velikoj Britaniji našli su se na njihov trošak.
Satnam Narang, viši istraživački inženjer osoblja na osnovu zamišljenog, rekao je da se opseg kršenja još može razvijati. “Zato što se upravo pojavilo, nemamo puni opseg svih podataka koji su možda bili izloženi kao rezultat. Ono što mi znamo je da je do sada, to nije bilo kupovino na prodaju nekih akte za prijetnju”, rekao je.
“Za korisnike čiji su lični podaci mogli biti izloženi, natpisu natpise socijalnih inženjerstva usmjerenih na njih. Ako su lozinke postanu dio ukradenih podataka, gdje napadači pokušavaju ponovo iskoristiti ukradene vjerodajnice na drugim web lokacijama.
“Bez potvrde o izloženosti lozinkom još ne trebaju žuriti za promjenu svojih lozinki. Međutim, korisnici bi trebali osigurati da koriste snažne i jedinstvene lozinke na svakom mjestu, ali je najvažnije da je MVP omogućena na osjetljivim računima kako bi se spriječilo uspješne napadljive napadajućih napada”, rekao je.
Lewis u Darktrace rekao je da ako cyber zločinci iza napada Qantas-a mogu uspješno umetnuti ukradene podatke na tamnom webu, prateći napadi bili su vrlo vjerovatni.
“Očekujte da ukradene podatke o klijentima, e-porukama, rođenima, čestim brojevima letaka – za gorivo ubedljive phishing kampanje koje ciljaju programe lojalnosti i prevareći kupce s lažnim zahtjevima za plaćanje”, rekao je Lewis.
Netspi EMEA Services Reditelj Sam Kirkmanm dodao je primarni rizik, a ne u potencijalu za ciljano socijalno inženjerstvo. Sada je i za preispitivanje pohranjenih informacija i uklanjajući bilo šta nepotrebno. Ovaj jednostavan korak može pomoći ograničavanju ispadanja iz budućih incidenata. “
Šta sledeće?
Kredit, Qantas je brzo odgovorio i s pohvalnom otvorenosti na incident. Postavio je dodatne mjere sigurnosti za zaštitu svojih sustava – čija je priroda mora biti neotkrivena za sada – i pojačala je procese nadgledanja i otkrivanja sistema na platformi treće strane.
Radi i sa Australijskim nacionalnim koordinatorom za Cyber sigurnosti, australijskom Cyber sigurnošću (ACSC) i Cyber forenziku treće strane.
Putnici također mogu pristupiti namjenskoj liniji za podršku i web stranicu za više informacija, ali važno je napomenuti da nije bilo utjecaja na operacije ili sigurnost leta, a bilo kome rezerviran za letenje sa QANTAS-om u narednim tjednima ne bi trebalo da preduzimaju nikakvu radnju.
Uz neposredni utjecaj incidenta, Qantas i viktimizirani dobavljač treće strane preći će u fazu istrage i sanacije. Trenutno se može pojaviti da su napadači prodrli dublje u sisteme organizacija nego što je prva misao ili su mogli pristupiti još osjetljivijim podacima, ali jednako se mogu pokazati da se to ne može pokazati.
Daljnja komunikacija o tom pitanju vjerovatno su u narednim danima i sedmicama, ali izostaju propuštanja ili izjave iz predstavnika bande, firm atribucija za raštrkani pauk.