Hackers chineses estão coletando detalhes de passageiros de companhias aéreas de todo o mundo para rastrear os movimentos de alvos de alto valor.

Um suposto grupo de hackers chinês vem atacando a indústria aérea nos últimos anos com o objetivo de obter dados de passageiros para rastrear a movimentação de pessoas de interesse.

As intrusões foram associadas a um agente de ameaças que a segurança cibernética rastreou sob o nome de Chimera .

Acredita-se que esteja operando no interesse do Estado chinês, as atividades do grupo foram descritas pela primeira vez em um relatório [ PDF ] e apresentação do Black Hat [ PDF ] da CyCraft em 2020.

O relatório inicial mencionou uma série de ataques coordenados contra a indústria de supercondutores de Taiwan.

Mas em um novo relatório publicado na semana passada pelo NCC Group e sua subsidiária Fox-IT, as duas empresas disseram que as invasões do grupo são mais amplas do que se pensava inicialmente, tendo também como alvo o setor de aviação civil.

"O NCC Group e a Fox-IT observaram esse ator de ameaça durante vários compromissos de resposta a incidentes realizados entre outubro de 2019 e abril de 2020", disseram as duas empresas.

Esses ataques tiveram como alvo empresas de semicondutores e companhias aéreas em diferentes áreas geográficas, e não apenas na Ásia, disseram a NCC e a Fox-IT.

No caso de algumas vítimas, os hackers permaneceram escondidos nas redes por até três anos antes de serem descobertos.

OS HACKERS COLETARAM DADOS DO USUÁRIO DA RAM DOS SERVIDORES DE RESERVA DE VOOS

Enquanto os ataques orquestrados contra a indústria de semicondutores visavam o roubo de propriedade intelectual (IP), os ataques contra a indústria de aviação se concentravam em outra coisa.

"O objetivo de atingir algumas vítimas parece ser obter os registros de nomes de passageiros (PNR)", disseram as duas empresas.

"A maneira como esses dados PNR são obtidos provavelmente difere por vítima, mas observamos o uso de vários arquivos DLL personalizados usados ​​para recuperar continuamente dados PNR da memória de sistemas onde esses dados são normalmente processados, como servidores de reserva de voos."

UM ATAQUE TÍPICO DE QUIMERA O relatório conjunto da NCC e da Fox-IT também descreve o modus operandi típico do grupo Chimera, que geralmente começa com a coleta de credenciais de login do usuário que vazaram para o domínio público após violações de dados em outras empresas.

Esses dados são usados ​​para preenchimento de credenciais ou ataques de espalhamento de senha contra os serviços do funcionário de um alvo, como contas de e-mail. Uma vez dentro, os operadores Chimera procuram detalhes de login para sistemas corporativos, como sistemas Citrix e aparelhos VPN.

Uma vez dentro de uma rede interna, os invasores normalmente implantam Cobalt Strike, uma estrutura de teste de penetração usada para "emulação de adversário", que eles usam para mover lateralmente para tantos sistemas quanto possível, procurando por detalhes de IP e passageiros.

As duas empresas de segurança disseram que os hackers foram pacientes e meticulosos e iriam pesquisar até encontrar maneiras de atravessar redes segmentadas para alcançar sistemas de interesse.

Depois de encontrar e coletar os dados que procuravam; essas informações eram carregadas regularmente para serviços de nuvem pública como OneDrive, Dropbox ou Google Drive, sabendo que o tráfego para esses serviços não seria inspecionado ou bloqueado em redes violadas.

RASTREANDO ALVOS DE INTERESSE

Embora o relatório da NCC e da Fox-IT não tenha especulado por que os hackers visaram o setor de aviação e por que roubaram dados de passageiros, isso é bastante óbvio.

Na verdade, é muito comum que grupos de hackers patrocinados pelo estado visem companhias aéreas, cadeias de hotéis e empresas de telecomunicações para obter dados que possam usar para rastrear os movimentos e comunicações de pessoas de interesse.

Exemplos anteriores incluem o grupo chinês APT41, que tinha como alvo as telcos com malware especial capaz de roubar mensagens SMS . Acredita-se que os ataques estejam relacionados aos esforços da China para rastrear sua minoria uigur, com alguns desses esforços envolvendo teles de hackers para rastrear os movimentos dos viajantes uigures .

Outro grupo chinês que teve como alvo as telcos foi o APT10 (ou Gálio), cujas atividades foram detalhadas no relatório Operação Soft Cell da Cybereason.

Além disso, hackers patrocinados pelo Estado chinês também foram ligados ao hack do Marriott , durante o qual roubaram muitos detalhes de reservas de hotéis datando de anos anteriores.

Mas a China não é a única a se envolver nesse tipo de ataque.

O grupo iraniano APT39 também foi vinculado a violações em provedores de telecomunicações e empresas de viagens com o objetivo de rastrear dissidentes iranianos, enquanto outro grupo iraniano, conhecido como Greenbug, foi vinculado a hacks contra vários provedores de telecomunicações no sudeste da Ásia .

Depois, há o Operation Specialist , uma operação do GCHQ do Reino Unido que teve como alvo a telco Belgacom belga entre 2010 e 2013.

Fonte; ZDNet