連邦捜査局(FBI)は、航空業界をターゲットにするサイバー攻撃の懸念を強調しており、航空業界を標的とするサイバー攻撃の懸念を強調している重要な公的勧告を発行しました。以前は小売および保険セクターへの攻撃で認められていた散在するクモとして知られる悪名高いハッキング集団は、悪意のある範囲を拡大し、世界の空の旅インフラストラクチャに対する大きな脅威をもたらしています。エージェンシーのアラートは、グループが洗練されたソーシャルエンジニアリングの戦術に依存していることを強調しており、ITヘルプデスクの担当者を操作し、それにより機密性の高い内部システムへの不正アクセスを獲得しています。
FBIによると、散乱したクモの手口は、ヘルプデスクのスタッフに重要な多要素認証(MFA)保護をバイパスするよう説得することがよくあります。これは、侵害されたアカウントにRogue MFAデバイスを登録するようにそれらを説得することによってしばしば達成されます。ネットワーク内に入ると、これらの攻撃者は驚くべき速度と効率性で動作し、データの盗難、ランサムの支払いを要求するさまざまな違法な活動に従事し、いくつかの深刻な例では、ランサムウェアを展開して組織の運用機能を不自由にします。初期アクセスから本格的な混乱へのこの急速な進行は、FBIの警告の緊急性を強調しています。
サイバーセキュリティの専門家は、グループの有効性が複雑な企業システム内の人間の行動を深く理解することに起因することに同意しています。 Googleの脅威インテリジェンスグループのチーフアナリストであるジョンハルトキストは、 有線「このグループは、私たちの重要なインフラストラクチャに対する深刻な攻撃を行っています。彼らは、彼らがうまく利用しているセキュリティシステムの大きなギャップを特定しました。」この声明は、散在するクモによって活用される重要な脆弱性を強調しています。
FBIの警告は、いくつかの著名な航空会社によって報告された最近のサイバー事件を背景にしている中にあります。ここ数週間、WestjetとHawaiian Airlinesの両方が、違反の経験を公に認めています。さらに、オーストラリアの航空会社のカンタスはサイバー攻撃を確認しましたが、事件を散らばったクモにすぐにリンクしませんでした。 Palo Alto Networks 42のSam RubinはLinkedInにアラームを上げ、潜在的な偽のMFAリセットリクエストと洗練されたなりすましの試みに関する「高い警戒」ステータスを維持するよう緊急に助言しました。報告されているように、GoogleのMandiant、この懸念を反映しています ロイター、散らばったクモの独特のアプローチに驚くような類似性を持つ「航空会社と輸送業界の複数の事件」が観察されていると述べた。 Mandiantの最高技術責任者であるCharles Carmakalは、「業界がすぐにヘルプデスクのID検証プロセスを強化するための措置を講じることをお勧めします。」
とらえどころのない流動的な集合体である散らばったクモは、UNC3944、混乱した天秤座、Octo Tempestなどのさまざまなエイリアスで知られています。このグループには、連続した波で複数のセクターを攻撃するという文書化された歴史があります。航空会社をターゲットにする前は、通信プロバイダー、金融サービス機関、小売業者に潜入し、同様のテクニックを一貫して採用して、不正アクセスを獲得し、機密データを除去し、その後実質的なランサムを要求しました。 ReliaQuestによる最近のレポートは、名前のない会社の最高財務責任者が関与する違反の詳細な説明を提供しました。この事件では、攻撃者はCFOの個人情報を細心の注意を払って収集し、ITヘルプデスクが資格情報とMFAデバイスをリセットするように首尾よく納得させました。フルアクセスにより、ハッカーはSharePoint、Horizon Virtual Desktop、VMwareなどの重要なシステムに潜入し、機密データを盗み、検出後の必死の「焦げた地球」の試みで、dabled dabled firewalls。
散在するクモは、「com」として知られるより広い地下コミュニティの不可欠な部分であると考えられています。これには、Lapsus $のような他の悪名高いグループも含まれます。集合体は主に英語を話すティーンエイジャーや若い大人で構成されています。彼らはしばしばDiscordやTelegramなどのプラットフォームから活動しており、これらのチャンネルを使用して戦術を共有し、ピアと「勝利」を祝います。パロアルトネットワークの脅威インテリジェンスチームであるユニット42は、「このグループは、多様な背景と関心のあるメンバーを引き込み、不一致と電報のコミュニケーションプラットフォームで進化しました。」このゆるい組織構造は、グループを解体するのが特に困難になり、その迅速な学習曲線と共同の性質と相まって、重要なインフラストラクチャに対する危険を増幅するだけです。
専門家は、散在するクモに対する効果的な防御が、特に重要なヘルプデスクレベルで、アイデンティティ検証手順の大幅な強化を必要とすることに一貫して同意します。 Google CloudのMandiantチームは、MFAデバイスまたは資格情報の変更を承認する前に、いくつかの重要なアクションを特に推奨しています。 ITチームに包括的なトレーニングを提供して、実際のソーシャルエンジニアリングの戦術を認識できるようにします。横方向の動きを制限するために、組織のインフラストラクチャ全体でアイデンティティを分離します。すべてのシステムで堅牢な認証基準を強化します。彼らが標的にされていると疑っている組織は、事件を迅速に報告することを強く求められています。 FBIは、「早期報告により、FBIが迅速に関与し、業界全体でインテリジェンスを共有し、さらなる妥協を防ぐことができます。」
