Avustralya havayolu Qantas, tehdit aktörlerinin müşteri verileri içeren üçüncü taraf bir platforma erişim kazandıktan sonra Pazartesi günü bir siber saldırı tespit ettiğini açıkladı.
Qantas, Avustralya’nın en büyük havayolu şirketi, altı kıtada yerli ve uluslararası uçuşlar işletiyor ve yaklaşık 24.000 kişiyi istihdam ediyor.
Pazartesi gecesi yayınlanan bir basın açıklamasında, havayolu saldırının içerdiğini, ancak “önemli” bir veri miktarının çalındığına inanılıyor. İhlal, bir tehdit oyuncusu bir Qantas çağrı merkezini hedefledikten ve üçüncü taraf bir müşteri hizmet platformuna eriştikten sonra başladı.
Qantas, “Pazartesi günü, bir Qantas Havayolu İletişim Merkezi tarafından kullanılan üçüncü taraf bir platformda olağandışı etkinlik tespit ettik. Daha sonra anında adımlar attık ve sistemi içerdik. Tüm Qantas sistemlerinin güvenli kaldığını doğrulayabiliriz.”
Diyerek şöyle devam etti: “Bu platformda hizmet kaydı olan 6 milyon müşteri var. Çalınan verilerin oranını araştırmaya devam ediyoruz, ancak önemli olmasını bekliyoruz. İlk inceleme, verilerin bazı müşterilerin adlarını, e -posta adreslerini, telefon numaralarını, doğum tarihlerini ve sık el ilanı numaralarını içerdiğini doğruladı.”
Qantas, hiçbir kredi kartı veya kişisel finansal bilgilerin maruz kalmadığını ve sık uçan broşür hesap şifreleri, pimleri ve giriş bilgileri etkilenmediğini söylüyor.
İhlali tespit ettikten sonra Qantas, Avustralya Siber Güvenlik Merkezi’ne, Avustralya Bilgi Komiseri Ofisi’ne ve Avustralya Federal Polisi’ne haber verdiğini söyledi. Dış siber güvenlik uzmanlarının soruşturmaya yardımcı olup olmadığı belli değil.
Dağınık Örümcek Saldırıları Hedef Havacılık Firmaları
Bu saldırı, siber güvenlik firmalarının “dağınık örümcek” olarak bilinen bilgisayar korsanlarının havacılık ve ulaşım endüstrilerini hedeflemeye başladığı konusunda uyarıyor.
Bu grubun Qantas saldırısının arkasında olup olmadığı belirsiz olsa da, BleepingComputer olayın tehdit aktörlerinin diğer son saldırılarıyla benzerlikleri paylaştığını öğrendi.
Dağınık Örümcek (ayrıca 0ktapus, UNC3944, Scatter Swine, Starfraud ve Muddlu Terazi olarak da izlenir), dünya çapındaki kuruluşlara karşı, kimlik avı, SIM değiştirme, MFA bombardımanı ve yardım masası telefon çağrılarını kullanan sosyal mühendislik ve kimlik temelli saldırıları yürütmesiyle bilinen bir grup tehdit aktördür.
Eylül 2023’te, bir çalışanı taklit ederek erişim kazandıktan sonra Blackcat fidye yazılımını kullanarak MGM tatil köylerini ihlal ederek ve 100’den fazla VMware ESXI hipervizörünü şifreleyerek saldırılarını artırdılar. Ayrıca RansomHub, Qilin ve Dragonforce gibi diğer fidye yazılımı operasyonlarıyla ortaklık kurdular. Dağınık Örümcek tarafından hedeflenen diğer kuruluşlar arasında Twilio, Coinbase, Doordash, Caesars, Mailchimp, Riot Games ve Reddit bulunmaktadır.
Son zamanlarda perakende ve sigorta şirketlerine odaklandıktan sonra, siber güvenlik firmaları Cuma günü, dağınık örümceklerin dikkatini havacılıkla kaydırdığı ve Hawaiian Havayolları ve Westjet’in tehdit aktörleriyle bağlantılı olduğuna inanılan son saldırıların dikkatini çektiği konusunda uyardı.
BleepingComputer, Westjet ihlalinde, tehdit aktörlerinin bir çalışanın hesabına erişmek için bir self servis şifre sıfırlamasını kullandığını ve daha sonra ağı ihlal etmek için kullanıldığını öğrendi.
Tehdit aktörleri, saldırılarına sektör-sektör yaklaşımı kullanıyorlar ve havacılık sektörü ile yapılacakları ve daha sonra hangi endüstrinin hedefleneceği belirsiz.
Bu tür bir tehdide karşı savunan kuruluşlar, tüm altyapı, kimlik sistemleri ve kritik yönetim hizmetleri arasında tam görünürlük kazanarak başlamalıdır.
Bu, bu tehdit aktörlerinin ortak hedefleri haline gelen self servis şifre sıfırlama platformlarını, yardım masalarını ve üçüncü taraf kimlik satıcılarını güvence altına almayı içerir.
Hem Google Tehdit İstihbarat Grubu (GTIG) hem de Palo Alto Networks, yöneticilerin kendilerine aşina olması gereken bilinen “dağınık örümcek” taktiklerine karşı sert savunmalar hakkında rehberler yayınladı.
Dağınık örümcek ile ilişkili olduğuna inanılan diğer son siber saldırılar arasında M&S, Co-op, Erie Insurance ve AFLAC bulunmaktadır.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.