De acordo com relatórios de pesquisadores de segurança cibernética, o grupo de hackers chinês Chimera está roubando dados de passageiros aéreos. O Grupo NCC e sua subsidiária Fox-IT publicaram um relatório conjunto sobre a atividade de hackers asiáticos.
Pela primeira vez, especialistas da empresa de segurança cibernética CyCraft falaram sobre este grupo no ano passado, apresentando suas descobertas no Chapéu preto 2020 conferência.
Como escrevem analistas do Grupo NCC e Fox-IT que observaram os hackers a partir de outubro 2019 para abril 2020, as atividades do grupo não se limitaram a ataques a fabricantes de semicondutores de Taiwan, como anteriormente assumido. Descobriu-se que os hackers não estavam menos interessados na indústria da aviação, e não apenas nos países asiáticos. Em alguns casos, os invasores se esconderam com sucesso nas redes de empresas comprometidas por até três anos, evitando detecção.
Embora os ataques à indústria de semicondutores visassem roubar propriedade intelectual, os ataques à indústria da aviação tinham um propósito muito diferente: hackers roubaram os dados pessoais dos passageiros (Registros de nomes de passageiros).
Tipicamente, Os ataques quimera começaram com uma coleção de credenciais que vazaram ao público como resultado de quaisquer incidentes. Esses dados foram então usados para realizar ataques direcionados, como preenchimento de credenciais e pulverização de senhas..
Aquilo é, os invasores tentaram nomes de usuário diferentes e tentaram usá-los com o mesmo nome simples, senha facilmente adivinhada, na esperança de encontrar uma conta mal protegida. Além disso, os hackers abusaram do fato de que muitas pessoas usam os mesmos logins e senhas para diferentes sites e serviços.
Nas redes internas das empresas vítimas, os invasores demoraram e geralmente implantaram o Cobalt Strike, que eles usaram para se mover lateralmente pela rede e hackear tantos sistemas quanto possível. Desta maneira, os invasores procuraram endereços IP e informações sobre passageiros. Os dados detectados foram carregados regularmente para vários serviços em nuvem, incluindo OneDrive, Dropbox e Google Drive (esse tráfego geralmente não é suspeito e não é bloqueado).
Os especialistas’ relatório não especifica, em que tipo de passageiros os atacantes estavam interessados em primeiro lugar, e qual foi o objetivo final desta campanha em grande escala. No entanto, isso está longe de ser a primeira vez que “hackers do governo” atacaram companhias aéreas, cadeias de hotéis e telecomunicações, a fim de obter informações que possam ser usadas para rastrear os movimentos e contatos de indivíduos específicos.
Deixe-me lembrá-lo disso Hackers chineses atacam organizações dos EUA e explorar bugs em F5, Citrix e Microsoft Exchange.
