返回

中国黑客被认为是印度航空公司第二次网络攻击的幕后黑手

发布时间:2022-02-02 06:46:47 424
# 技术# 货币# 信息# 黑客# 入侵
SITA Air India Data Breach

一项新的研究显示,就在影响印度航空公司的大规模数据泄露事件于上月曝光之际,印度旗下航空公司似乎又遭受了一次持续至少两个月零26天的网络攻击,它以适度的信心将事件归因于一个名为APT41的中华民族国家威胁行为体。

IB集团根据指挥与控制(C2)服务器域的名称,将该活动命名为“ColunmTK”,这些服务器域用于促进与受损系统的通信。

这家总部位于新加坡的威胁调查公司表示:“这起事件对整个航空业以及可能在其网络中发现ColunmTK踪迹的航空公司的潜在影响是重大的。”。

虽然IB集团暗示这可能是针对SITA的供应链攻击,但这家瑞士航空信息技术公司告诉黑客新闻,这是两起不同的安全事件。

“航空公司在2021年6月11日证实了对印度航空公司的网络攻击。与攻击SITA PSS的事件不一样,也没有任何联系,”SITA通过电子邮件告诉我们的出版物。

APT41也被其他绰号所知,如Winnti Umbrel、Axiom和Batho,是一个多产的华语民族国家高级持续威胁,以其围绕信息盗窃和针对医疗保健、高科技、,以及电信部门,以建立和维护窃取知识产权和实施财务动机网络犯罪的战略通道。

FireEye称:“他们的网络犯罪入侵在视频游戏行业目标中最为明显,包括操纵虚拟货币和试图部署勒索软件。”。“APT41针对高等教育、旅行社和新闻/媒体公司的行动提供了一些迹象,表明该组织还跟踪个人并进行监视。”

5月21日,印度航空(Air India)披露了一项数据泄露事件,在今年2月早些时候针对其乘客服务系统(PSS)供应商SITA的供应链攻击之后,该事件影响了450万名客户,持续了近10年。

SITA Air India Data Breach

违约涉及2011年8月26日至2021年2月3日之间登记的个人数据,包括姓名、出生日期、联系信息、护照信息、机票信息、星际联盟、印度航空常客数据以及信用卡数据等细节。

FireEye的Mandiant正在协助SITA进行事故响应工作,自那以后,该公司确定此次袭击非常复杂,战术、技术和程序(TTP)以及妥协指标指向一个单一实体,并补充说“犯罪者的身份和动机并不完全确定”

可能是针对印度航空公司的新攻击

IB集团的分析显示,至少从2月23日起,印度航空公司网络中的一台受感染设备(名为“SITASERVER4”)与一台托管Cobalt Strike有效载荷的服务器进行了通信,其有效载荷可追溯到2020年12月11日。

在这一最初的妥协之后,据说攻击者建立了持久性并获得了密码,以便横向转向更广泛的网络,目的是在本地网络内收集信息。

该公司表示,在横向移动过程中,至少有20台设备受到感染。“攻击者使用hashdump和mimikatz从本地工作站过滤NTLM哈希和纯文本密码,”IB集团威胁情报分析师Nikita Rostovcev说。“攻击者试图借助恶意软件升级本地权限。”

总体而言,对手从名为SITASERVER4、AILCCUALHSV001、AilDelCCPoCe01、AILDELCCPDB01和WEBSERVER3的五台设备中提取了23.33 MB的数据,攻击者花了24小时零5分钟将钴打击信标散布到航空公司网络中的其他设备上。攻击的初始切入点目前仍不得而知。

攻击基础设施中发现的C2服务器与早期攻击中使用的服务器之间的重叠,以及威胁行动方在行动结束后将其域停驻的战术,都是连接钡剂的基础。IB集团还表示,他们发现了一个名为“Install.bat”的文件,该文件与2020年全球入侵行动中部署的有效载荷相似。

当得到回应时,IB集团首席技术官德米特里·沃尔科夫(Dmitry Volkov)告诉《黑客新闻》(Hacker News),“尽管最初的妥协途径仍然未知,但IB集团认为SITA事件和印度航空公司的违规行为是相互关联的。”

“这一假设是基于这样一个事实,即IB集团认为,这是印度航空公司网络中的一台服务器,可能与首先被破坏的SITA网络建立了[a]连接。根据IB集团的数据,SITASERV4是印度航空公司网络中第一台被感染的主机。印度航空公司也证实了这一点。”沃尔科夫补充道。

然而,值得注意的是,SITASERVER4既不是由SITA所有,也不是由SITA管理。在后台发言时,SITA指出,该服务器之前曾被用于承载该公司向印度航空公司提供的软件,并且该特定软件已于2019年从服务器上删除。

该航空IT提供商还澄清,自2月23日以来,针对印度航空公司的所有方法均未用于攻击SITA PSS,并补充说,在针对该航空公司的恶意活动开始前几周,该对手已从其网络中移除,暗示这两起事件彼此没有关系。


特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线