Киберпреступная группировка Chimera в течение последних нескольких лет атаковала авиационную отрасль с целью хищения о пассажирах, чтобы отслеживать передвижение определенных лиц. Предполагается, что группировка действует в интересах китайского государства.

Первые атаки хакеров были нацелены на тайваньскую индустрию сверхпроводников. Но теперь, по словам специалистов из NCC Group и ее дочерней компании Fox-IT, интересы преступников охватили и авиационную отрасль.

В то время как атаки, организованные против полупроводниковой отрасли, были направлены на кражу интеллектуальной собственности, атаки на авиационную отрасль были сосредоточены на другой сфере. В ходе некоторых атак преступники похищали данные пассажиров авиакомпаний. Эксперты зафиксировали применение нескольких пользовательских DLL-файлов для непрерывного извлечения данных пассажиров из памяти систем авиакомпаний, например, серверов бронирования рейсов.

Преступники обычно начинают вредоносные кампании с поиска учетных данных пользователей, которые утекли в Сеть в результате взломов других компаний. Записи используются для осуществления атак с подстановкой учетных данных (credential stuffing) или распылением паролей (password spraying) на сервисы персонала компаний, такие как электронная почта. Оказавшись в системе, операторы Chimera ищут данные для входа в корпоративные системы, такие как системы Citrix и VPN-устройства.

Попав во внутреннюю сеть, злоумышленники обычно развертывают Cobalt Strike для перемещения по сети к как можно большему количеству систем в поисках IP-адресов и сведений о пассажирах.

Как только они находили и собирали нужные им данные, информация загружалась в общедоступные облачные сервисы, такие как OneDrive, Dropbox или Google Drive, поскольку трафик к этим сервисам не проверяется и не блокируется внутри взломанных сетей.

Источник: ghall.com.ua