За последнюю неделю несколько организаций подняли красные флажки, предупреждая авиационный сектор о потенциальных инцидентах кибербезопасности. Предполагается, что хакеры нацелены в частности на авиакомпании после аналогичных атак, специфичных для сектора в прошлом.

Поскольку Qantas переживает не лучшие времена после взлома, в результате которого были раскрыты данные примерно шести миллионов клиентов, AGN спрашивает экспертов, почему авиакомпании теперь стали мишенью для этих группировок и что они могут сделать, чтобы оставаться в безопасности.

Хакеры все чаще атакуют авиакомпании, поскольку этот сектор одновременно является и высокодоходным, и крайне уязвимым.

Авиакомпании управляют огромными объемами данных, от личных данных пассажиров до платежной информации и данных об экипаже. Это делает их особенно привлекательной целью как для атак с целью вымогательства, так и для кражи личных данных.

«Организации аэрокосмической отрасли являются привлекательными целями из-за сложности их работы и высокой чувствительности к простоям», — рассказал Сэм Рубин, старший вице-президент по консалтингу и анализу угроз в подразделении 42 компании Palo Alto Networks, в интервью AGN.

«Злоумышленники понимают, что даже кратковременные сбои могут иметь далеко идущие последствия — финансовые, логистические и репутационные. Эта срочность часто заставляет компании действовать быстро, делая их более уязвимыми для требований выкупа».

Взаимосвязанный характер авиации означает, что авиакомпании часто полагаются на разрозненные ИТ-системы и инфраструктуру, а также прибегают к услугам сторонних поставщиков для таких задач, как обслуживание клиентов и ИТ-поддержка.

Это делает авиакомпании особенно уязвимыми для атак. Хакерам не обязательно сбивать самолет, чтобы вызвать операционный хаос и долгосрочный ущерб репутации.

По словам Рубина, авиакомпаниям следует серьезно беспокоиться о том, что они могут стать новыми целями для изощренных хакеров.

Хакерская группа, вызывающая наибольшее беспокойство, известна Mandiant, ведущей американской фирме по кибербезопасности, как Scattered Spider. Команда Сэма Рубина в Palo Alto Networks' Unit 42 называет их Muddled Libra. Группу также называют другими именами, включая UNC3944 и Octo Tempest.

Ниже приведена таблица известных или предположительно ответственных за атаки Scattered Spider:

Scattered Spider имеет привычку проникать в один тип организаций, а затем нацеливаться на несколько других в этом секторе. В 2023 году он нацелился на казино, включая MGM и Caesars. Ранее в этом году он парализовал британскую главную улицу, взломав Marks & Spencers и Co-op.

Предполагается, что эта группа стоит за взломами Hawaiian Airlines и WestJet, а взлом Qantas, как говорят, имеет все признаки атаки Scattered Spider/Muddled Libra.

«Muddled Libra, как известно, атакует кластеры отраслей, используя информацию из одного взлома для информирования следующего», — объясняет Рубин. «Эта закономерность — причина, по которой мы выпустили предупреждение для авиационного сектора. Как только эта группа переключает свое внимание на новый сектор, последующие атаки, как правило, каскадные».

Scattered Spider использует метод взлома, который сторожевые псы называют «инжинирингом scoail». Он заключается в выдаче себя за сотрудников служб поддержки и ИТ-поддержки с целью обхода контроля аутентификации.

Используя общедоступную информацию, такую как профили LinkedIn или корпоративные пресс-релизы, члены группы убедительно выдают себя за сотрудников. Они пытаются оказывать давление на службы поддержки с помощью срочных выражений, например: «Рейс 902 ожидает вылета, а я не могу войти в свой планшет».

Известно даже, что группа использует сгенерированные искусственным интеллектом голоса или фейковые видеозвонки, чтобы имитировать человека.

Scattered Spider — это своего рода аномалия в мире хакеров. В то время как большинство киберпреступных банд происходят из России, Китая или Восточной Европы, Scattered Spider собирается состоять из молодых носителей английского языка, проживающих в США и Великобритании.

Это делает их телефонные и электронные подражания убедительными, особенно при общении с англоговорящими службами поддержки. Они понимают рабочие процессы, знают отраслевой сленг и могут быть очень убедительными при попытках получить доступ.

Поскольку этим хакерам не нужно взламывать ИТ-системы традиционным способом, с ними очень сложно справиться. Никакие брандмауэры или шифрование не могут помешать работнику контакт-центра неосознанно предоставить доступ злонамеренному звонящему.

Поскольку это не проблема ИТ, быстрого решения для предотвращения взлома не существует. Авиакомпании должны сосредоточиться на ужесточении своих протоколов безопасности и идентификации, если они хотят избежать проникновения.

«Самый эффективный шаг, который могут предпринять компании, — это укрепить защиту своих сотрудников», — говорит Рубин. «Это означает четко определенные процедуры проверки личности, регулярное обучение и предоставление сотрудникам и группам поддержки возможности распознавать и сообщать о подозрительной активности».

Поскольку служба поддержки ИТ является обычной точкой входа, авиакомпаниям необходимо заблокировать доступ через эту дверь. Это может означать требование нескольких этапов проверки перед сбросом MFA или сменой пароля или интеграцию биометрических проверок идентификаторов для счетов с высоким уровнем риска.

Также может помочь ужесточение протоколов, например, использование устойчивой к фишингу многофакторной аутентификации (MFA), отказ от устаревших протоколов, таких как двухфакторная аутентификация (2FA), и обеспечение того, чтобы сотрудники имели только тот доступ, который им необходим, и только на тот срок, на который он им нужен.

Наиболее важной областью фокусировки для предотвращения взломов авиакомпаний является сила людей. Повышение осведомленности посредством обучения или семинаров и внедрение культуры отчетности с нулевым обвинением может укрепить эту первую линию обороны и остановить взлом еще до его начала.

«Повышение осведомленности и ужесточение процедур могут иметь большое значение для предотвращения подобных атак», — заключает Рубин.