حادثة أمن الإنترنت في شركة الطيران الأسترالية Qantas يرتبط مبدئيًا من خلال التسوية لمركز الاتصال من طرف ثالث مبدئيًا بحملة مستمرة للهجمات الإلكترونية التي تنشرها جماعة القرصنة المعروفة باسم Spider ، والتي كانت تستهدف في السابق تجار التجزئة البريطانيين في الشوارع البريطانية في أبريل ومايو.
يوم الجمعة 27 يونيو ، المحللون في Google Cloud’s Mandiant قالت وحدة صيد التهديدات إنهم كانوا يحققون في أكثر من هجوم عنكبوت مبعثر العنكبوت إشراك قطاع الطيران، مع انتشار الأخبار لهجوم إلكتروني في شركة الطيران الأمريكية هاواي ، وعمل المشغل الكندي ويست جيت احتواء حادثة أخرى.
من المعروف أن العنكبوت المبعثر يفضل نهج قطاع قطاع على حدة لاستهدافه ، مع التركيز على رأسي واحد في وقت قبل المضي قدمًا. تركزت سلسلة النشاط الحالية على قطاعات البيع بالتجزئة في المملكة المتحدة والولايات المتحدة ، تليها شركات التأمين ، قبل الانتقال إلى الطيران ، لذلك كان من المتوقع المزيد من الهجمات على هذا القطاع.
شهد خرق Qantas ، الذي تم اكتشافه لأول مرة يوم الاثنين 30 يونيو ، أن مجرمي الإنترنت يمكنهم الوصول إلى منصة خدمة العملاء في مركز الاتصال الضحية ، من حيث تمكنوا من التخلص من البيانات على حوالي ستة ملايين شخص.
وفقًا لحامل العلم الأسترالي ، تتضمن البيانات أسماء وعناوين البريد الإلكتروني وأرقام الهواتف وتواريخ الولادة وأرقام المسافر المتكرر ، ولكن ليس تفاصيل بطاقة الائتمان أو المعلومات المالية أو تفاصيل جواز السفر.
هل العنكبوت المتناثر متورط؟
بعد أيام قليلة من تحذير مانديان من هجمات الإنترنت على شركات الطيران من قبل مجموعة العنكبوت المبعثرة ، يتم ربط حادثة Qantas بشكل طبيعي بالعصابة.
ومع ذلك ، قال تشارلز كارماكال ، كبير مسؤولي التكنولوجيا الاستشارية ، الذي أصدر تحذير الأسبوع الماضي ، إنه سيكون من غير الحكمة إسناد حازم في هذه المرحلة.
“في حين أن Spider المنتشر له تاريخ في استهداف المنظمات العالمية بما في ذلك تلك في أستراليا ، فمن السابق لأوانه معرفة ما إذا كانت قد وسعت استهدافها الحالية لمؤسسات الطيران الأسترالية” ، قال Carmakal لـ Computer Weekly عبر البريد الإلكتروني اليوم.
“يستخدم مختلف الممثلين للتهديدات الهندسة الاجتماعية القائمة على الهاتف لتسوية المنظمات ، بما في ذلك ممثل تهديدات مدفوع مالياً نطلق عليه UNC6040. ومن الأفضل أن تكون المنظمات التي تدريب موظفي مكتب المساعدة في عمليات التحقق من الهوية القوية وتنفيذ MFA المقاوم للتصيد الخالص هي أفضل ما يتم تجهيزه لإحباط هذه الأنواع من الهجمات. دقة التحقق من الهوية من مكاتب مساعدتهم”
توبي لويس ، رئيس تحليل التهديد العالمي في Darktrace، قال: “إن خرق كانتاس السيبراني يحمل السمات المميزة للعنكبوت المبعثر ، نفس المجموعة وراء الهجمات الأخيرة على الخطوط الجوية في هاواي ، ويستجيت وماركس آند سبنسر-من خلال المساومة على منصة SAAS من طرف ثالث.
“يتبع الهجوم كتاب اللعب النموذجي: سرقة بيانات اعتماد تسجيل الدخول المشروعة للدخول إلى الأنظمة التي لا يتم فيها تمكين حماية الأمن الحرجة بشكل افتراضي ، أثناء العمل من الدول الغربية لتظهر كمستخدمين شرعيين ومرشحات أمان قياسية.”
غالبًا ما تكون مراكز الاتصال ومساعدات المساعدة أهدافًا
يتوافق استهداف مورد مركز الاتصال إلى Qantas أيضًا مع طريقة التشغيل المعمول بها للمجموعة – وقد استهدف أعضاء العنكبوت المبعثر منذ فترة طويلة مراكز الاتصال وتكنولوجيا المعلومات وهجماتها على كازينوهات لاس فيجاس في عام 2023 من خلال خدمات تكنولوجيا المعلومات قدمت للضحايا من قبل أوكتا.
سواء كان ذلك داخليًا أو خارجيًا ، فإنه على زيادة هذه الأجزاء من عملياتها ، يجب على المنظمات في قطاع الطيران توجيه تركيزها. يعد العاملون في HelpDesk وخدمة العملاء أهدافًا ذات قيمة عالية لأن لديهم وصولًا مرتفعًا إلى أنظمة لإجراء إجراءات مثل إعادة ضبط بيانات الاعتماد أو تسجيل جهاز مصادقة جديد MFA.
وفق وحدة شبكات بالو ألتو 42، يستهدف العنكبوت المبعثر عوامل المساعدة باستخدام مزيج من intel مفتوح المصدر والبيانات التي تم تجميعها مسبقًا. يقوم أعضاؤها بإجراء هجمات مقنعة ومستمرة على هؤلاء الوكلاء الذين يركزون على ارتداءها والاستسلام في نهاية المطاف لمطالبهم.
يجب على المؤسسات النظر في تنفيذ عملية محسّنة للتحقق من صحة طلبات إعادة تعيين كلمة المرور والتحقق منها. على سبيل المثال ، قد يتطلب ذلك عملية توحيد مزدوج حيث لا يتمكن أي شخص من بدء إعادة تعيين كلمة المرور بمفرده. حتى أن بعض المنظمات الواعية للأمن تطلب من موظفيها الظهور على كاميرا الويب مع هوية حكومية للتحقق من شرعيتهم.
يسلط خرق Qantas الضوء أيضًا على الحاجة إلى المنظمات من جميع الأنواع لمواصلة تركيز جهودها على الصمود الإلكتروني على نظامها الإيكولوجي لمورد الطرف الثالث. يعتمد قطاع الطيران بشكل كبير على هؤلاء مقدمي الخدمات لعدة أجزاء من عملياتهم ، ويعمل العديد من هؤلاء مقدمي الخدمات مع العديد من شركات الطيران ، مما يجعلها أهدافًا أكثر احتمالًا.
من منظور الأمن ، يمكن أن يكون دمج الأطراف الثالثة في العمليات التجارية غرضًا طويلًا ومحفوفًا به في كثير من الأحيان ، ولكن من المهم تصحيحه ، وإنشاء الحد الأدنى من معايير الأمان ، وضمان معرفة كلا الطرفين المسؤول عن ما ، وتنفيذ تجزئة النظام وضوابط الوصول الصارمة ، والحفاظ على التدقيق النشط المستمر لأنشطة الطرف الثالث.
إذا كانت مدعومة من قبل MFA القسري ، ومستويات بجنون العظمة من نظافة بيانات الاعتماد ، وفحوصات سلامة نقطة النهاية المتكررة ، والوقاية من فقدان البيانات المدركة للمحتوى (DLP) ، من الممكن إنشاء نموذج حيث تصبح فجوات أمان سلسلة التوريد أقل من مشكلة.
ذروة وقت السفر
إن تركيز Spider الجديد المبعثر على شركات الطيران ، الذي سيأتي في بداية موسم السفر الصيفي الذروة لنصف الكرة الشمالي ، يعني أن تأثير حادثة Qantas الإلكترونية من المحتمل أن يتضخم ، ليس فقط من حيث تأثيره على الضحية وعملائها ، ولكن من حيث مدى مناقشته ، ومن حيث الدعاية للمجرمين السيبرانيين.
تختلف الدوافع الإجرامية الإلكترونية ، ولكن في حالة Spider المبعثرة ، فإن العصابة ، التي تتألف إلى حد كبير من المتسللين الناطقين بالإنجليز ، تهتم إلى حد كبير ، بقدر ما يتعلق الأمر بالمكاسب المالية. على هذا النحو ، سيسعى أعضائها في كثير من الأحيان إلى زيادة تأثير هجماتهم من خلال توقيتهم إلى تواريخ رئيسية في تقويمات ضحاياهم.
في حالة فورة الجريمة الحالية للعصابة ، ربما يكون من الأفضل أن يتضح ذلك من خلال توقيت حادثة Marks & Spencer (M&S) ، التي جاءت قبل عطل عيد الفصح مباشرة في المملكة المتحدة، عندما كانت قاعات الطعام التابعة للسلسلة كانت مليئة بالمتسوقين الذين يشترون الأطعمة والطعام للنزهات للطقس المأمول للدفء.
ومع ذلك ، فإن التاريخ الحديث مليء بأمثلة على الهجمات الإلكترونية التي تم توقيتها مباشرة قبل فترات العطلات التي قد يكون فيها موظفو أمن تكنولوجيا المعلومات خارج العمل أو عدم الاهتمام. الشهيرة ، هجوم رابواري 2021 2021 على كاسيا وعملائها في اتجاه مجرى النهر تكشفت مباشرة قبل عطلة نهاية الأسبوع 4 يوليو.
غالبًا ما تتم الهجمات في فترة ما بعد الظهيرة العادية لأسباب مماثلة ، وحقيقة أن خرق كانتاس تم اكتشافه يوم الاثنين يشير إلى – ولكن ليس دليلًا نهائيًا – على أن هذا قد يكون هو الحال هنا.
الخطوات التالية لركاب كانتاس
من خلال الطبيعة الحساسة للبيانات التي يجب أن يحتفظوا بها على أولئك الذين يسافرون على خدماتهم ، تقدم شركات الطيران هدفًا مغريًا للغاية لمقاومة مجرمي الإنترنت ، لذا فإن الهجمات السيبرانية ضدهم ليست جديدة ، ولا يتم استغلال البيانات التي سُرقت منها ، حيث تم القبض على الركاب في السابق انتهاكات في الخطوط الجوية البريطانية و EasyJet في المملكة المتحدة وجدت بتكلفة.
ساتنام نارانج ، كبير مهندسي أبحاث الموظفين في قابل للتطبيق، قال نطاق الخرق قد يتطور بعد. وقال: “نظرًا لأن هذا الانتهاك حدث للتو ، فليس لدينا المدى الكامل لجميع البيانات التي ربما تكون قد تعرضت نتيجة لذلك. ما نعرفه هو أنه لم يتم التسوق حتى الآن للبيع من قبل أي ممثلين للتهديد”.
“بالنسبة للمستخدمين الذين قد تعرضوا لمعلوماتهم الشخصية ، فإن المخاطر الأكبر هي متابعة هجمات الهندسة الاجتماعية المستهدفة ضدهم. إذا كانت كلمات المرور في النهاية تصبح جزءًا من البيانات المسروقة ، فمن المحتمل أن تتبع هجمات حشو بيانات الاعتماد ، حيث يحاول المهاجمون إعادة استخدام بيانات الاعتماد المسروقة في مواقع أخرى.
وقال: “دون تأكيد تعرض كلمة المرور ، لا يحتاج المستخدمون إلى التسرع في تغيير كلمات المرور الخاصة بهم حتى الآن. ومع ذلك ، يجب على المستخدمين أن يستخدموا كلمات مرور قوية وفريدة من نوعها في كل موقع ، ولكن الأهم من ذلك ، تأكد من تمكين MFA على حسابات حساسة لمنع هجمات حشو بيانات الاعتماد من النجاح”.
قال لويس في Darktrace إنه إذا تمكن المجرمون السيبرانيون الذين يقفون وراء هجوم كانتاس ، فقد نجحت في استثمار البيانات المسروقة على شبكة الإنترنت المظلمة ، فمن المحتمل جدًا أن تتبع الهجمات.
وقال لويس: “توقع بيانات العميل المسروقة – الأسماء ، ورسائل البريد الإلكتروني ، وموضوعات الميلاد ، وأرقام المسافر المتكرر – لتغذية حملات التصيد القنعة التي تستهدف برامج الولاء وتخدع العملاء بطلبات دفع مزيفة باستخدام تفاصيل الحجز الحقيقية”.
Netspi وأضاف مدير الخدمات في أوروبا والشرق الأوسط وأفريقيا سام كيركمانم: “بالنسبة للعملاء ، لا يكمن المخاطر الأساسية في سرقة بيانات الدفع ، ولكن في إمكانية الحصول على الهندسة الاجتماعية المستهدفة. من الضروري أن تكون حذرة من الرسائل غير المرغوب فيها أو المكالمات التي تدعي أنها من Qantas – خاصة تلك التي تشير إلى التفاصيل الشخصية.
ماذا بعد؟
يرجع الفضل في ذلك ، استجابت Qantas بسرعة وبين الانفتاح على الحادث. لقد وضعت تدابير أمنية إضافية لحماية أنظمتها-والتي يجب أن تكون غير معلنة في الوقت الحالي-وقد عززت عمليات مراقبة واكتشاف النظام على منصات الطرف الثالث.
كما أنه يعمل مع منسق الأمن السيبراني الأسترالي في أستراليا ، ومركز الأمن السيبراني الأسترالي (ACSC) ، والطب الشرعي الإلكتروني لجهة خارجية.
يمكن للمسافرين أيضًا الوصول إلى خط دعم مخصص وموقع الويب لمزيد من المعلومات ، ولكن من المهم الإشارة إلى أنه لم يكن هناك أي تأثير على عمليات الطيران أو السلامة ، ولا يحتاج أي شخص إلى الطيران مع Qantas في الأسابيع المقبلة إلى اتخاذ أي إجراء.
مع وجود التأثير الفوري للحادث الوارد ، سينتقل كانتاس ومورد الطرف الثالث الضحية إلى مرحلة التحقيق والعلاج. في هذا الوقت ، قد يظهر أن المهاجمين قد اخترقوا أعمق في أنظمة المنظمات مما كان يعتقد أولاً ، أو تمكنوا من الوصول إلى بيانات أكثر حساسية ، ولكن هذا قد يثبت ذلك بنفس القدر.
من المحتمل أن تكون هناك اتصالات أخرى حول هذه المسألة في الأيام والأسابيع المقبلة ، ولكن التسريبات أو البيانات الغائبة من ممثلي العصابات ، لا يجوز أبدًا إجراء إسناد الشركة إلى العنكبوت المتناثر.
