Μια κινεζική ομάδα χάκερ επιτίθεται στην αεροπορική βιομηχανία τα τελευταία χρόνια με στόχο να κλέψει δεδομένα επιβατών. Στην ομάδα έχει αποδοθεί το όνομα Chimera.
Η Chimera πιστεύεται ότι λειτουργεί προς το συμφέρον του κινεζικού κράτους, ενώ οι δραστηριότητες της περιγράφηκαν για πρώτη φορά σε έκθεση και παρουσίαση Black Hat από την CyCraft το 2020. Η αρχική έκθεση ανέφερε μια σειρά συντονισμένων επιθέσεων κατά της βιομηχανίας υπεραγωγών της Ταϊβάν. Ωστόσο, σε μια νέα έκθεση που δημοσιεύτηκε την περασμένη εβδομάδα από τον NCC Group και τη θυγατρική του Fox-IT, οι δύο εταιρείες δήλωσαν ότι οι επιθέσεις της ομάδας είναι ευρύτερες από ό,τι αρχικά πίστευαν, έχοντας στοχεύσει και τη βιομηχανία των αεροπορικών εταιρειών.
‘Η NCC Group και η Fox-IT παρατήρησαν αυτόν τον actor κατά τη διάρκεια διαφόρων περιστατικών που πραγματοποιήθηκαν μεταξύ Οκτωβρίου 2019 και Απριλίου 2020’, ανέφεραν οι δύο εταιρείες. Αυτές οι επιθέσεις αφορούσαν εταιρείες ημιαγωγών και αεροπορικών εταιρειών σε διαφορετικές γεωγραφικές περιοχές και όχι μόνο στην Ασία.
Στην περίπτωση ορισμένων θυμάτων, οι χάκερ παρέμειναν κρυμμένοι μέσα σε δίκτυα για έως και τρία χρόνια προτού ανακαλυφθούν.
Ενώ οι επιθέσεις που ενορχηστρώθηκαν κατά της βιομηχανίας ημιαγωγών είχαν ως στόχο την κλοπή πνευματικής ιδιοκτησίας, οι επιθέσεις εναντίον της αεροπορικής βιομηχανίας επικεντρώθηκαν σε κάτι άλλο. ‘Ο στόχος της στόχευσης ορισμένων θυμάτων φαίνεται να είναι η απόκτηση των Personal Name Records (PNR)’, ανέφεραν οι δύο εταιρείες.
‘Ο τρόπος με τον οποίο λαμβάνονται αυτά τα δεδομένα PNR διαφέρει πιθανώς ανά θύμα, αλλά παρατηρήσαμε τη χρήση πολλών προσαρμοσμένων αρχείων DLL που χρησιμοποιούνται για τη συνεχή ανάκτηση δεδομένων PNR από τη μνήμη των συστημάτων όπου τυπικά επεξεργάζονται τέτοια δεδομένα, όπως διακομιστές κρατήσεων πτήσεων.’
Η κοινή έκθεση NCC και Fox-IT περιγράφει επίσης το τυπικό modus operandi του ομίλου Chimera, το οποίο συνήθως ξεκινά με τη συλλογή διαπιστευτηρίων σύνδεσης χρηστών που διέρρευσαν μετά από παραβίαση δεδομένων σε άλλες εταιρείες. Μόλις μπουν, οι χειριστές Chimera αναζητούν στοιχεία σύνδεσης για εταιρικά συστήματα, όπως συστήματα Citrix και συσκευές VPN.
Όταν εισέρχονται σε εσωτερικό δίκτυο, οι εισβολείς αναπτύσσουν συνήθως το Cobalt Strike, το οποίο χρησιμοποιούν για lateral movement σε όσο το δυνατόν περισσότερα συστήματα, αναζητώντας πληροφορίες πλνευματική ιδιοκτησίας και επιβατών.
Οι δύο εταιρείες ασφαλείας δήλωσαν ότι οι χάκερ ήταν υπομονετικοί και λεπτομερείς και θα έψαχναν μέχρι να βρουν τρόπους να διασχίσουν διαχωρισμένα δίκτυα για να προσεγγίσουν συστήματα ενδιαφέροντος. Μόλις τα κατάφερναν, συνέλεγαν τα δεδομένα που αναζητούσαν. Αυτές οι πληροφορίες μεταφορτώνονταν σε δημόσιες υπηρεσίες cloud όπως το OneDrive, το Dropbox ή το Google Drive, γνωρίζοντας ότι η επισκεψιμότητα σε αυτές τις υπηρεσίες δεν θα ελεγχόταν ή δεν θα αποκλείονταν εντός παραβιασμένων δικτύων.
Ενώ η έκθεση NCC και Fox-IT δεν έκανε εικασίες ως προς το γιατί οι χάκερ στόχευαν την αεροπορική βιομηχανία και γιατί έκλεβαν δεδομένα επιβατών, αυτό είναι αρκετά προφανές.
Στην πραγματικότητα, είναι πολύ συνηθισμένο για κρατικές ομάδες χάκερ να στοχεύουν αεροπορικές εταιρείες, αλυσίδες ξενοδοχείων και τηλεπικοινωνίες , καθώς έτσι θα μπορούσαν να λάβουν δεδομένα που θα μπορούσαν να χρησιμοποιήσουν για την παρακολούθηση των κινήσεων και των επικοινωνιών ατόμων εδιαφέροντος.
Τα προηγούμενα παραδείγματα περιλαμβάνουν την κινεζική ομάδα APT41, η οποία στόχευσε τηλεφωνικούς φορείς με ειδικό κακόβουλο λογισμικό ικανό να κλέψει μηνύματα SMS. Οι επιθέσεις πιστεύεται ότι σχετίζονται με τις προσπάθειες της Κίνας να εντοπίσει τη μειονότητα των Ουιγούρων, με μερικές από αυτές τις προσπάθειες να αφορούν την παραβίαση τηλεπικοινωνιών για την παρακολούθηση των κινήσεων των ταξιδιωτών Ουιγούρων.
Μια άλλη κινεζική ομάδα που στόχευσε τα telcos ήταν το APT10 (ή Gallium), οι δραστηριότητες του οποίου αναφέρονται λεπτομερώς στην έκθεση Operation Soft Cell της Cybereason.
Επιπλέον, κινέζοι χάκερ που υποστηρίζονται από το κράτος συνδέθηκαν με το hack του Marriott, κατά το οποίο έκλεψαν πολλά στοιχεία κρατήσεων ξενοδοχείων πριν από χρόνια.
Αλλά η Κίνα δεν είναι η μόνη που συμμετέχει σε τέτοιου είδους επιθέσεις.
Το ιρανικό APT39 έχει επίσης συνδεθεί με παραβιάσεις σε παρόχους τηλεπικοινωνιών και ταξιδιωτικές εταιρείες με σκοπό τον εντοπισμό Ιρανών αντιφρονούντων, ενώ άλλη μία ιρανική ομάδα γνωστή ως Greenbug, έχει συνδεθεί με παραβιάσεις πολλαπλών παρόχων τηλεπικοινωνιών σε όλη τη Νοτιοανατολική Ασία.
Με πληροφορίες από zdnet.com
