Üçüncü taraf bir temas merkezinin uzlaşmasından kaynaklanan Avustralya havayolu Qantas’ta bir siber güvenlik olayı, daha önce Nisan ve Mayıs aylarında British High Street perakendecilerini hedefleyen dağınık örümcek olarak bilinen hack kolektifi tarafından düzenlenen siber saldırılar kampanyasıyla geçici olarak bağlantılıdır.
27 Haziran Cuma günü, Google Cloud’un Maniant Tehdit Avı Birimi’ndeki analistler, ABD havayolu Hawaii’de bir siber saldırının haber yayılması ve Kanadalı operatör Westjet’in başka bir olay içermek için çalıştığı için havacılık sektörünü içeren birden fazla dağınık örümcek siber saldırısını araştırdıklarını söyledi.
Dağınık örümcek, devam etmeden önce bir seferde bir dikey olarak odaklanan hedeflemesine sektöre yönelik bir yaklaşımı desteklediği bilinmektedir. Şu anki faaliyeti ilk olarak İngiltere ve ABD perakende sektörlerini, ardından sigorta şirketlerini, havacılığa geçmeden önce, sektöre daha fazla saldırı bekleniyor.
İlk olarak 30 Haziran Pazartesi günü tespit edilen Qantas ihlali, siber suçluların, yaklaşık altı milyon kişi üzerindeki verileri ortaya koyabildikleri mağdurla temas merkezinde bir müşteri hizmetleri platformuna eriştiğini gördü.
Aussie bayrak taşıyıcısına göre, veriler isimleri, e-posta adreslerini, telefon numaralarını, doğum tarihlerini ve sık broşür numaralarını içerir, ancak kredi kartı detayları, finansal bilgiler veya pasaport detaylarını içerir.
Dağınık örümcek dahil mi?
Mantiant’ın dağınık örümcek kolektifi tarafından havayollarına siber saldırılara uymasından sadece birkaç gün sonra, Qantas olayı doğal olarak çeteye bağlı.
Ancak, geçen haftaki uyarıyı yayınlayan Maniant Danışmanlık Baş Teknoloji Sorumlusu Charles Carmakal, bu aşamada kesin bir atıf yapmanın akılsız olacağını söyledi.
Carmakal, Computer Weekly bugün e -posta yoluyla “Dellowed Spider, Avustralya’da olanlar da dahil olmak üzere küresel organizasyonları hedefleme geçmişine sahip olsa da, mevcut hedeflemelerini Avustralya havayolu kuruluşlarına genişletip genişletmediklerini söylemek için çok erken” dedi.
“Çeşitli tehdit aktörleri, UNC6040 olarak adlandırdığımız finansal olarak motive olmuş bir tehdit aktörü de dahil olmak üzere kuruluşları tehlikeye atmak için telefon tabanlı sosyal mühendisliği kullanıyor. Yardım masası personelini sağlam kimlik doğrulama süreçlerinde proaktif olarak eğiten ve kimlik avına dirençli MFA’yı uygulayan kuruluşlar, bu tür saldırıları engellemek için en iyi şekilde donatılmıştır. Küresel havayolu organizasyonları, kimliklerin rastlantısını artırmak için, kimlikler yardımları için olmalıdır.
Darktrace’teki küresel tehdit analizi başkanı Toby Lewis, “Qantas’ın siber ihlali, Hawaiian Havayolları, Westjet ve Marks & Spencer’a yapılan son saldırıların arkasındaki aynı grup olan dağınık örümceklerin ayırt edici özelliklerini taşıyor.
“Saldırı tipik oyun kitabını takip ediyor: kritik güvenlik korumalarının genellikle varsayılan olarak etkin olmadığı sistemlere yürümek için meşru giriş bilgileri çalırken, Batı ülkelerinden meşru kullanıcılar olarak görünmek ve standart güvenlik filtrelerini atlamak için çalışır.”
İletişim Merkezleri ve Yardım Masası genellikle hedeflerdir
Bir temas merkezi tedarikçisinin Qantas’a hedeflenmesi de grubun yerleşik modus operandi ile uyumludur – dağınık örümcek üyeleri temas merkezlerini hedef aldı ve 2023’te Las Vegas casinolarına yapılan saldırıları, her ikisi de kurbanlara OKTA tarafından sağlanan BT hizmetlerinden kaynaklandı.
İster dahili ister harici olarak çalıştırın, operasyonlarının bu bölümlerini, havacılık sektöründeki kuruluşların odaklanmalarını yönlendirmeleri gerekmektedir. Yardım masası ve müşteri hizmetleri çalışanları son derece değerli hedeflerdir, çünkü kimlik bilgileri sıfırlamaları veya yeni bir MFA kimlik doğrulama cihazı kaydolma gibi eylemleri gerçekleştirmek için sistemlere daha yüksek erişime sahiptirler.
Palo Alto Networks birim 42’ye göre, dağınık örümcek hedefleri, açık kaynaklı intel ve daha önce tehlikeye atılmış verilerin bir karışımını kullanarak yardım masası ajanlarını hedefler. Üyeleri, onları giymeye ve sonuçta taleplerine vermeye odaklanan bu ajanlara son derece ikna edici ve kalıcı saldırılar gerçekleştiriyor.
Kuruluşlar, şifre sıfırlama isteklerinin gerçekliğini kontrol etmek ve doğrulamak için gelişmiş sürecin uygulanmasını düşünmelidir. Örneğin, bu, tek bir kişinin kazandıklarında bir şifre sıfırlaması başlatamayacağı bir çift doğrulama işlemi gerektirebilir. Bazı güvenlik bilincine sahip kuruluşlar, çalışanlarından meşruiyetlerini doğrulamak için bir hükümetle web kamerasında görünmelerini ister.
Qantas ihlali, her türden kuruluşun siber esneklik çabalarını üçüncü taraf tedarikçi ekosistemlerine odaklamaya devam etme ihtiyacını vurgulamaktadır. Havacılık sektörü, operasyonlarının birçok bölümü için bu tür sağlayıcılara büyük ölçüde bağımlıdır ve bu sağlayıcıların çoğu çok fazla havayolu ile çalışır ve bu da onları daha da olası hedeflerdir.
Güvenlik perspektifinden bakıldığında, üçüncü tarafların iş operasyonlarına entegre edilmesi uzun ve sıklıkla dolu bir amaç olabilir, ancak bunu doğru yapmak, minimum güvenlik standartlarını oluşturmak, her iki tarafın da hangisinin sorumlu olduğunu bilmesini, sistem segmentasyonunu ve katı erişim kontrollerini uygulamak ve üçüncü taraf faaliyetlerinin sürekli aktif denetimini sürdürmek önemlidir.
Zorlu MFA, paranoyak kimlik bilgisi hijyeni, sık uç nokta bütünlüğü kontrolleri ve içerik farkında veri kaybı önleme (DLP) tarafından desteklenirse, tedarik zinciri güvenlik boşluklarının daha az sorun haline geldiği bir model oluşturmak mümkündür.
Pik seyahat süresi
Dağınık Spider’ın Kuzey Yarımküre için en yoğun yaz seyahat sezonunun başlangıcında gelen yeni havayollarına odaklanması, Qantas siber olayının etkisinin, sadece kurban ve müşterileri üzerindeki etkisi açısından değil, ne kadar yaygın olarak tartışıldığı ve cyber suçlulara yönelik tanıtım açısından büyütüleceği anlamına geliyor.
Siber cezai motivasyonlar değişir, ancak dağınık Spider’ın durumunda, büyük ölçüde gevşek bağlı İngilizce konuşan hackerlardan oluşan çete, finansal kazançla ilgili olduğu kadar kötü ve kötü şöhret konusunda da endişe duymaktadır. Bu nedenle, üyeleri genellikle kurbanlarının takvimlerindeki kilit tarihlere zaman ayırarak saldırılarının etkisini en üst düzeye çıkarmaya çalışacaktır.
Çetenin mevcut suç çılgınlığı durumunda, bu belki de en iyi şekilde, zincirin yiyecek salonlarının umutlar ve ılık hava için ikramlar ve piknik yiyecekleri satın alan alışveriş yapanlarla dolu olacağı İngiltere’deki Paskalya tatillerinden hemen önce gelen Marks & Spencer (M&S) olayının zamanlamasıyla kanıtlanmıştır.
Bununla birlikte, yakın tarih, BT güvenlik personelinin işten çıkabileceği veya dikkat etmediği tatil dönemlerinden hemen önce gerçekleşecek siber saldırılar örnekleri ile doludur. Ünlü olarak, Kaseya ve aşağı akış müşterilerine yönelik 2021 Revil Fidye yazılımı saldırısı, 4 Temmuz tatil haftasonundan hemen önce ortaya çıktı.
Saldırılar genellikle benzer nedenlerle sıradan Cuma öğleden sonraları gerçekleşir ve Qantas ihlalinin Pazartesi günü keşfedilmesi, ancak kesin bir kanıt olmadığını – burada durumun böyle olabileceğini öne sürüyor.
Qantas yolcuları için sonraki adımlar
Hizmetlerinde seyahat edenler üzerinde tutmaları gereken verilerin hassas doğasıyla, havayolları siber suçlulara direnmek için çok cazip bir hedef sunuyor, bu nedenle onlara karşı siber saldırılar yeni bir şey değil ve İngiltere Airways ve EasyJet’teki önceki ihlallerde yakalanan yolcular maliyetlerini buldular.
Tenable kıdemli personel araştırma mühendisi Satnam Narang, ihlalin kapsamının henüz gelişebileceğini söyledi. “Bu ihlalin gerçekleştiği için, sonuç olarak ortaya çıkmış olabilecek tüm verilerin tam kapsamına sahip değiliz. Bildiğimiz, şimdiye kadar herhangi bir tehdit aktörleri tarafından satışa sunulmadığıdır” dedi.
“Kişisel bilgileri ortaya çıkmış olabilecek kullanıcılar için, en büyük risk kendilerine karşı hedeflenen sosyal mühendislik saldırılarıdır. Parolalar çalınan verilerin bir parçası haline gelirse, saldırganların diğer sitelerde çalınan kimlik bilgilerini yeniden kullanmaya çalıştığı kimlik bilgisi doldurma saldırılarının izlenmesi muhtemeldir.
“Şifre maruziyetinin onaylanması olmadan, kullanıcıların henüz şifrelerini değiştirmek için acele etmeleri gerekmez. Ancak kullanıcılar, her sitede güçlü ve benzersiz şifreler kullandıklarından emin olmalıdır, ancak en önemlisi, kimlik bilgisi doldurma saldırılarının başarılı olmasını önlemek için hassas hesaplarda MFA’nın etkin olduğundan emin olun” dedi.
Darktrace’teki Lewis, Qantas saldırısının arkasındaki siber suçluların karanlık ağdaki çalınan verilerden başarılı bir şekilde para kazanabileceğini söyledi.
Lewis, “Çalınan müşteri verilerinin – adlar, e -postalar, doğum tarihleri, sık el ilanı numaraları – sadakat programlarını hedefleyen ve müşterileri gerçek rezervasyon ayrıntılarını kullanarak sahte ödeme talepleriyle kandıran ikna edici kimlik avı kampanyalarını beslemesini bekleyin” dedi.
Netspi EMEA Hizmetleri Direktörü Sam Kirkmanm şunları ekledi: “Müşteriler için birincil risk, ödeme verileri hırsızlığında değil, hedeflenen sosyal mühendislik potansiyelinde yatmaktadır. Kişilerden – özellikle de kişisel ayrıntılara atıfta bulunan istenmeyen mesajlara veya çağrılara karşı dikkatli olmak çok önemlidir. Şimdi, diğer Airlines ile ne bilgileri azaltabilir.
Sırada ne var?
Kredisine göre Qantas, olaya hızlı ve övgüye değer bir açıklık ile cevap verdi. Doğası şimdilik açıklanmaması gereken sistemlerini korumak için ek güvenlik önlemleri koydu ve üçüncü taraf platformlarda sistem izleme ve algılama süreçlerini güçlendirdi.
Ayrıca Avustralya Ulusal Siber Güvenlik Koordinatörü, Avustralya Siber Güvenlik Merkezi (ACSC) ve üçüncü taraf siber adli tıp ile de çalışıyor.
Yolcular ayrıca daha fazla bilgi için özel bir destek hattına ve web sitesine erişebilir, ancak uçuş işlemleri veya güvenlik üzerinde herhangi bir etki olmadığını ve önümüzdeki haftalarda Qantas ile uçmak için rezerve edilen herkesin herhangi bir işlem yapması gerekmediğini belirtmek önemlidir.
İçerilen olayın derhal etkisi ile Qantas ve mağdur üçüncü taraf tedarikçisi bir soruşturma ve iyileştirme aşamasına geçecektir. Şu anda, saldırganların kuruluşların sistemlerine ilk düşünülenden daha derin nüfuz ettikleri veya daha da hassas verilere erişebildikleri ortaya çıkabilir, ancak aynı şekilde bu böyle olmayabilir.
Konuyla ilgili daha fazla iletişim muhtemelen önümüzdeki günlerde ve haftalarda muhtemeldir, ancak çete temsilcilerinden gelen sızıntılar veya ifadeler yoktur, dağınık örümceğe sağlam ilişkilendirme asla yapılamaz.