Forskere ved Context Information Security har identificeret en ny cyberkriminelle gruppe Avivore, der har angrebet Airbus flere gange i de sidste par måneder.
ENttackers udført cyberangreb på Airbus gennem netværk af franske konsulentfirma Expleo, Britiske motorfabrikanten Rolls Royce, og to unavngivne Airbus leverandører.Cyberkriminelle målrette stort multinationalt og lille ingeniør og konsulentfirmaer i forsyningskæder.
Som en del af Island hopping angreb (angreb på forsyningskæder), cyberkriminelle bruge forbindelsen mellem offeret og dets partnere, For eksempel, virtuelle private netværk (VPN), at trænge computernetværk.
”Tidligere rapporter om de seneste hændelser, der involverer de rumfarts-og forsvarsindustrien har knyttet dem til APT10 og Ministeriet for statens sikkerhed i Jiangsu-provinsen [Kina]. Selv om arten af aktiviteten af kriminelle komplicerer tilskrivning, analysen af kampagnen viser en ny gruppe, som vi kaldte Avivore,” – Said Oliver Fay, chefanalytiker af Context Information Security.
Ifølge forskerne, gruppen anvender PlugX Remote Access Trojan (ROTTE), som ofte blev brugt af APT10.
imidlertid, gruppe taktik, teknikker, og procedurer, samt infrastruktur og andre værktøjer, afviger væsentligt det fra kinesiske cyberkriminelle. Denne kendsgerning er tilladt eksperter konkluderer, at Avivore er en hidtil ukendt gruppe sponsoreret af regeringen.
Læs også: Kriminelle angrebet amerikanske olieselskaber anvender Adwind Trojan
Kriminelle er ”meget dygtig”, fordi de dygtigt bruge en teknik kaldet stue-off-the-jord (ved hjælp af lokale applikationer til skadelige formål) og maske deres aktiviteter i de daglige aktiviteter af medarbejdere i målvirksomheder. De hævder også driftssikkerheden og fjerne alle spor for at undgå at blive opdaget.
På grundlag af de oplysninger og aktiver søges af AVIVORE, Context Information Security vurderer med moderat tillid til, at formålet med den seneste kampagne var intellektuel ejendomsret tyveri fra offerstøtteorganisationer.
Fremtidige Anbefalinger og afhjælpninger fra Context Information Security:
- Pålægge adgangsbegrænsninger, der leverandørforbindelser løbet VPN og begrænse adgangen kun til data og aktiver, de har brug for at udføre deres handlinger.
- Sikre, at sikkerhedsforanstaltninger, såsom multifaktor autentificering og forbedret revisions- / logning er indsat til værter og tjenester i hvilke leverandører kræves for at forbinde.
- Sørg for, at eksterne fjernadgang tjenester gennemføre passende log fastholdelse. Logs skal indeholde tilstrækkelige oplysninger om kilderne til indgående forbindelser for at muliggøre identifikation af anomalier, såsom samtidige logins med umulig geografi.
- Sørg for, at legitimationsoplysninger til yderst privilegerede konti og eksterne tjenester opbevares sikkert, og deres anvendelse er behørigt overvåget.
- hvor det er muligt, applikationer, dokumentation og teknisk information relateret til netværksinfrastruktur og konfiguration af fjernadgang tjenesteydelser bør kun stilles til rådighed for ingeniører og IT-support personale.
