Liittovaltion tutkintatoimisto (FBI) on julkaissut kriittisen julkisen neuvoa -antavan, ja se korostaa kärjistymistä kyberhyökkäyksissä, jotka on erityisesti kohdistettu lentoteollisuuteen. Hajallaan oleva hämähäkki, joka on aiemmin tunnistettu vähittäiskaupan ja vakuutusalan hyökkäyksistä, tunnettu pahamaineinen hakkerointikollektiivi, laajentaa nyt haitallista laajuuttaan ja aiheuttaa merkittävän uhan globaalille lentomatkainfrastruktuurille. Viraston hälytys korostaa ryhmän kasvavaa luottamusta hienostuneeseen sosiaalisen tekniikan taktiikkaan sen manipuloimiseksi HELP DEST DEST -henkilöstölle, mikä saa luvattoman pääsyn arkaluontoisiin sisäisiin järjestelmiin.
FBI: n mukaan hajallaan Spider’s Modus Operandi sisältää usein vakuuttavan asiakaspöydän henkilöstön ohittamaan tärkeän monitekijän todennuksen (MFA) suojaukset. Tämä saavutetaan usein vakuuttamalla heidät rekisteröimään Rogue MFA -laitteet vaarantuneille tileille. Kun nämä hyökkääjät toimivat verkon sisällä, ne toimivat huomattavan nopeuden ja tehokkuuden avulla, harjoittamalla erilaisia laittomia toimintoja, mukaan lukien tietovarkaudet, vaativat lunasmaksuja ja joissakin vakavissa tapauksissa Ransomware -ohjelmien käyttöönottamisen organisaation toimintakyvyn turmeltumiseksi. Tämä nopea eteneminen alkuperäisestä pääsystä täysimittaiseen häiriöön korostaa FBI: n varoituksen kiireellisyyttä.
Kyberturvallisuusasiantuntijat ovat yhtä mieltä siitä, että ryhmän tehokkuus johtuu heidän syvällisestä ymmärryksestä ihmisen käyttäytymisestä monimutkaisissa yritysjärjestelmissä. John Hultquist, Googlen Threat Intelligence Groupin pääanalyytikko, huomautti raportissa Langallinen”Tämä ryhmä suorittaa vakavia hyökkäyksiä kriittisen infrastruktuurin suhteen. He ovat tunnistaneet merkittävän aukon turvajärjestelmissämme, joita he ovat onnistuneet hyödyntäneet.” Tämä lausunto korostaa hajautetun hämähäkin hyödyntämää kriittistä haavoittuvuutta: inhimillinen elementti IT -tietoturvakehyksissä.
![Konvertieren Sie die virtuelle VMware-Maschine in VirtualBox [How to]](https://fi.techbriefly.com/wp-content/uploads/sites/2/2020/11/1605913762_Konvertieren-Sie-die-virtuelle-VMware-Maschine-in-VirtualBox-How-to.jpg)
FBI: n varoitus on keskellä viimeaikaisia tietoverkkotapahtumia, joita useat merkittävät lentoyhtiöt ovat ilmoittaneet. Viime viikkoina sekä Westjet että Hawaiian Airlines tunnustivat julkisesti rikkomuksensa. Lisäksi australialainen kantaja Qantas vahvisti kyberhyökkäyksen, vaikka se ei välittömästi yhdistänyt tapahtumaa hajallaan olevaan hämähäkkiin. Sam Rubin Palo Alto Networksin yksiköstä 42 siirtyi LinkedIniin hälytyksen herättämiseksi ja kehotti kiireellisesti ilmailuyrityksiä ylläpitämään ”korkean hälytyksen” tilan mahdollisia vääriä MFA -nollauspyyntöjä ja hienostuneita esiintymisyrityksiä. Toistamalla tätä huolta, Googlen mandiantti, kuten raportoi Reuterstotesi, että se on havainnut ”useita tapauksia lentoyhtiössä ja kuljetus pystysuorissa”, jotka muistuttavat silmiinpistävää hämähäkin erottuvaa lähestymistapaa. Mandiantin teknologiapäällikkö Charles Carmakal suositteli voimakkaasti: ”Suosittelemme, että teollisuus ryhtyy heti toimiin kiristääkseen heidän avustuspöydän identiteettitarkastusprosesseja.”
Hajallaan oleva hämähäkki, vaikea ja nestemäinen kollektiivi, tunnetaan eri aliaksilla, mukaan lukien UNC3944, Muddled Libra ja Octo Tempest. Ryhmällä on dokumentoitu historia hyökkäyksestä useiden sektorien hyökkäyksestä peräkkäisissä aaltoissa. Ennen lentoyhtiöiden kohdistamista he tunkeutuivat menestyksekkäästi televiestinnän tarjoajiin, rahoituspalvelulaitoksiin ja vähittäiskauppiaan, käyttämällä jatkuvasti samanlaisia tekniikoita luvattoman pääsyn saamiseksi, suodatetun arkaluontoisen tiedon saamiseksi ja myöhemmin vaatimaan huomattavia lunnauksia. ReliAquestin äskettäisessä raportissa annettiin yksityiskohtainen selvitys rikkomuksesta, joka koski nimeämättömän yrityksen talousjohtajaa. Tässä tapauksessa hyökkääjät kokosivat huolellisesti talousjohtajan henkilökohtaiset yksityiskohdat ja vakuuttivat sitten IT -avustuspöydän valtatietojen ja MFA -laitteiden nollaamiseksi. Täydellisen pääsyn avulla hakkerit tunkeutuivat kriittisiin järjestelmiin, mukaan lukien SharePoint, Horizon Virtual Desktop ja VMware, varasti arkaluontoiset tiedot ja epätoivoisessa ”poltetun maan” yrityksessä havaitsemisen jälkeen jopa vammaiset palomuurit.
Hajautetun hämähäkin uskotaan olevan olennainen osa laajempaa metroyhteisöä, joka tunnetaan nimellä “COM”, joka sisältää myös muita pahamaineisia ryhmiä, kuten Lapsus $. Kollektiivi koostuu pääasiassa englanninkielisistä teini-ikäisistä ja nuorista aikuisista, jotka toimivat usein alustoilta, kuten Discord ja Telegram, käyttämällä näitä kanavia jakamaan taktiikkaa ja juhlimaan ”voittoja” ikäisensä kanssa. Yksikkö 42, Palo Alto Networksin uhkatietotiimi totesi: ”Tämä ryhmä kehittyi Discord- ja Telegram -viestintäalustoissa vetäen jäseniä monista taustoista ja kiinnostuksen kohteista.” Tämä löysä organisatorinen rakenne tekee ryhmästä erityisen haastavan purkamisen, ja niiden nopea oppimiskäyrä yhdistettynä heidän yhteistyöhön liittyvään luonteeseensa vain vahvistaa heidän vaaraaan kriittiseen infrastruktuuriin.
Asiantuntijat ovat johdonmukaisesti yhtä mieltä siitä, että hajallaan olevien hämähäkkien kohdalla tehokas puolustus edellyttää identiteetin todentamismenettelyjen huomattavaa vahvistamista, etenkin tärkeällä avustuspöydällä. Google Cloudin Mandiant -tiimi suosittelee erityisesti useita keskeisiä toimia: identiteettien tarkistaminen perusteellisesti ennen MFA -laitteiden tai valtakirjojen muutosten hyväksymistä; IT-ryhmille kattava koulutus, jotta he voivat tunnistaa reaalimaailman sosiaalisen tekniikan taktiikan; identiteettien erottaminen koko organisaation infrastruktuurissa sivuttaisliikkeen rajoittamiseksi; ja vahvojen todennuskriteerien vahvistaminen kaikissa järjestelmissä. Organisaatioita, jotka epäilevät, että heitä on kohdistettu, kehotetaan voimakkaasti ilmoittamaan tapahtumista nopeasti. FBI korosti hälytyksessä, ”varhainen raportointi antaa FBI: lle sitoutua nopeasti, jakaa älykkyyttä koko teollisuudessa ja estää kompromisseja.”
Source: FBI varoittaa: Hajallaan olevat hämähäkki hyökkää lentoyhtiöitä sosiaalisen tekniikan kautta
