过去几年,一个可疑的中国黑客组织一直在攻击航空业,目的是获取乘客数据,以便追踪相关人员的动向。
这些入侵行为与网络安全部门一直以这个名字追踪的威胁行为者有关被认为是为了中国国家利益的奇美拉,小组的活动首先在a报告[PDF]和黑帽演示文稿href=“https://i.blackhat.com/USA-20/thurday/us-20-Chen-Operation-Chimera-APT-Operation-Targets-Semiconductor-Vendors-wp.pdf“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>PDF]于2020年从CyCraft获得。
最初的报告提到了一系列针对台湾超导体的协同攻击但在NCC集团及其子公司foxit上周发布的一份新报告中,两家公司表示,NCC集团的入侵范围比最初想象的要广,这两家公司还以航空业为目标。
“NCC集团和福克斯IT公司在2019年10月至2020年4月期间的各种事件应对活动中发现了这一威胁因素。”这两家公司表示。
这些攻击针对的是不同地理区域的半导体和航空公司,而不仅仅是亚洲、NCC和福克斯IT公司在一些受害者的案件中,黑客在被发现之前在网络中隐藏了长达三年之久。
“针对某些受害者的目标似乎是获取乘客姓名记录(PNR)。
“每个受害者获取PNR数据的方式可能不同,但我们观察到,用于连续检索的几个自定义DLL文件的使用情况PNR数据来自通常处理此类数据的系统(如航班预订服务器)的内存。
NCC和Fox IT联合报告还描述了奇美拉集团的典型操作方式,通常从收集数据泄露后泄露到公共域的用户登录凭据开始在其他公司。
此数据用于https://attack.mitre.org/versions/v8/techniques/T1110/004/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>凭证填充或对目标公司的员工服务(如电子邮件帐户)进行密码攻击。一旦进入,奇美拉运营商会搜索公司系统的登录详细信息,如Citrix系统和VPN设备。
一旦进入内部网络,入侵者通常会部署Cobalt Strike,这是一种用于“对手仿真”的渗透测试框架,他们用它横向移动到尽可能多的系统,搜索IP和乘客的详细信息。
这两家安全公司表示,黑客很有耐心,也很彻底,他们会一直搜索,直到找到穿越分段网络到达感兴趣的系统的方法。
一旦他们找到并收集了他们要找的数据;这些信息被定期上传到公共云服务,如OneDrive、Dropbox或Google Drive,因为他们知道这些服务的流量不会在被破坏的网络中被检查或阻止。
而NCC和Fox IT报告没有推测黑客为什么会针对航空业以及为什么会这样做他们窃取乘客数据,这是非常明显的。
事实上,由国家资助的黑客组织以航空公司、连锁酒店和电信公司为目标,获取他们可以用来追踪感兴趣的人的移动和通信的数据,这是非常常见的。
过去的例子包括中国集团APT41,该集团针对电信公司href=“https://www.zdnet.com/article/chinese-hackers-developed-malware-to-steal-sms-messages-from-telcos-network/“target=”\u blank“>能够窃取短信的特殊恶意软件。这些袭击被认为与中国追踪维吾尔族少数民族的努力有关,其中一些工作涉及https://www.reuters.com/article/us-china-cyber-uighurs-idUSKCN1VQ1A5“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>入侵电信公司追踪维吾尔族旅客的行踪
另一个针对电信公司的中国集团是APT10(或Gallium),其活动是详见malwarebytes说,它是被同一个组织入侵的谁违反了SolarWinds
