Peretas China Diyakini Berada di Balik Serangan Siber Kedua di Air India

  • Whatsapp
Pelanggaran Data SITA Air India

Bahkan ketika pelanggaran data besar-besaran yang mempengaruhi Air India terungkap bulan sebelumnya, maskapai penerbangan berbendera India tampaknya telah mengalami serangan cyber terpisah yang berlangsung selama setidaknya dua bulan dan 26 hari, penelitian baru telah mengungkapkan, yang menghubungkan insiden dengan kepercayaan sedang terhadap aktor ancaman negara-bangsa China bernama APT41.

Group-IB menjuluki kampanye “ColunmTK” berdasarkan nama domain server command-and-control (C2) yang digunakan untuk memfasilitasi komunikasi dengan sistem yang disusupi.

Bacaan Lainnya

“Potensi konsekuensi dari insiden ini untuk seluruh industri penerbangan dan operator yang mungkin belum menemukan jejak ColunmTK di jaringan mereka adalah signifikan,” perusahaan pemburu ancaman yang berkantor pusat di Singapura berkata.

Sementara Group-IB menyinggung bahwa ini mungkin serangan rantai pasokan yang menargetkan SITA, perusahaan teknologi informasi penerbangan Swiss mengatakan kepada The Hacker News bahwa itu adalah dua insiden keamanan yang berbeda.

“Maskapai mengkonfirmasi vis-à-vis SITA pada 11 Juni 2021 bahwa serangan cyber terhadap Air India […] tidak sama atau dengan cara apa pun terkait dengan serangan terhadap SITA PSS,” kata SITA kepada publikasi kami melalui email.

Tim Stack Overflow

Juga dikenal oleh moniker lain seperti Winnti Umbrella, Axiom dan Barium, APT41 adalah ancaman terus-menerus canggih negara-bangsa berbahasa China yang dikenal karena kampanyenya yang berpusat di sekitar pencurian informasi dan spionase terhadap sektor perawatan kesehatan, teknologi tinggi, dan telekomunikasi untuk membangun dan mempertahankan akses strategis untuk mencuri kekayaan intelektual dan melakukan kejahatan dunia maya bermotivasi finansial.

“Intrusi kejahatan dunia maya mereka paling jelas di antara penargetan industri video game, termasuk manipulasi mata uang virtual, dan upaya penyebaran ransomware,” menurut ke FireEye. “Operasi APT41 terhadap pendidikan tinggi, layanan perjalanan, dan perusahaan berita/media memberikan indikasi bahwa kelompok tersebut juga melacak individu dan melakukan pengawasan.”

Pada 21 Mei, Air India mengungkapkan pelanggaran data yang memengaruhi 4,5 juta pelanggannya selama periode yang membentang hampir 10 tahun setelah serangan rantai pasokan yang diarahkan ke penyedia Sistem Layanan Penumpang (PSS) SITA. awal Februari ini.

Pelanggaran Data SITA Air India

Pelanggaran tersebut melibatkan data pribadi yang terdaftar antara 26 Agustus 2011, dan 3 Februari 2021, termasuk perincian seperti nama, tanggal lahir, informasi kontak, informasi paspor, informasi tiket, Star Alliance, dan data frequent flyer Air India, sebagai serta data kartu kredit.

Mandiant FireEye, yang membantu SITA dengan upaya respons insiden, sejak itu menetapkan bahwa serangan itu sangat canggih dan bahwa taktik, teknik, dan prosedur (TTP) dan indikator kompromi menunjuk ke satu entitas, menambahkan “identitas dan motif pelakunya tidak sepenuhnya meyakinkan.”

Kemungkinan Serangan Baru Terhadap Air India

Analisis Grup-IB kini telah mengungkapkan bahwa setidaknya sejak 23 Februari, perangkat yang terinfeksi di dalam jaringan Air India (bernama “SITASERVER4”) berkomunikasi dengan server yang menampung muatan Cobalt Strike sejak 11 Desember 2020.

Setelah kompromi awal ini, penyerang dikatakan telah menetapkan ketekunan dan memperoleh kata sandi untuk berporos secara lateral ke jaringan yang lebih luas dengan tujuan mengumpulkan informasi di dalam jaringan lokal.

Tidak kurang dari 20 perangkat terinfeksi selama pergerakan lateral, kata perusahaan itu. “Para penyerang mengekstrak hash NTLM dan kata sandi teks biasa dari stasiun kerja lokal menggunakan hashdump dan mimikatz,” kata Analis Intelijen Ancaman Grup-IB, Nikita Rostovcev. “Para penyerang mencoba meningkatkan hak lokal dengan bantuan malware BadPotato.”

Mencegah Serangan Ransomware

Secara keseluruhan, musuh mengekstrak 23,33 MB data dari lima perangkat bernama SITASERVER4, AILCCUALHSV001, AILDELCCPOSCE01, AILDELCCPDB01, dan WEBSERVER3, dengan penyerang membutuhkan waktu 24 jam dan 5 menit untuk menyebarkan suar Cobalt Strike ke perangkat lain di jaringan maskapai. Titik masuk awal untuk serangan itu masih belum diketahui.

Koneksi ke Barium didasarkan pada tumpang tindih antara server C2 yang ditemukan di infrastruktur serangan dengan yang digunakan di sebelumnya serangan dan taktik yang digunakan oleh aktor ancaman untuk memarkir domain mereka setelah operasi mereka selesai. Grup-IB juga mengatakan menemukan file bernama “Instal.bat” yang memiliki kesamaan dengan muatan yang dikerahkan pada tahun 2020 kampanye intrusi global.

Ketika dihubungi untuk tanggapan, CTO Grup-IB Dmitry Volkov mengatakan kepada The Hacker News bahwa “Terlepas dari kenyataan bahwa vektor kompromi awal tetap tidak diketahui, Grup-IB memperlakukan [the] Insiden SITA dan pelanggaran Air India saling terkait.”

“Asumsi ini dibangun di atas fakta bahwa itu adalah server di jaringan Air India yang, diasumsikan oleh Grup-IB, mungkin telah didirikan. [a] koneksi dengan jaringan SITA yang dilanggar terlebih dahulu. Menurut data Grup-IB, SITASERVER4 adalah host pertama yang terinfeksi dalam jaringan Air India. Ini juga telah dikonfirmasi oleh Air India,” tambah Volkov.

Namun, perlu dicatat bahwa SITASERVER4 tidak dimiliki atau dikelola oleh SITA. Berbicara di latar belakang, SITA mencatat bahwa server yang dimaksud sebelumnya telah digunakan untuk meng-host perangkat lunak yang ditawarkan oleh perusahaan kepada Air India dan bahwa perangkat lunak tertentu telah dihapus dari server pada tahun 2019.

Penyedia TI penerbangan juga mengklarifikasi bahwa tidak ada metode yang digunakan untuk menargetkan Air India sejak 23 Februari yang digunakan dalam serangan terhadap SITA PSS, menambahkan musuh telah dihapus dari jaringannya beberapa minggu sebelum dimulainya aktivitas jahat yang diarahkan. terhadap maskapai, menyiratkan bahwa dua insiden itu tidak ada hubungannya satu sama lain.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *