Investigadores de seguridad de la información de contexto han identificado un nuevo grupo criminal cibernético Avivore, Airbus que ha atacado varias veces en los últimos meses.
UNAttackers llevaron a cabo ataques cibernéticos en Airbus a través de las redes de empresa de consultoría francesa Expleo, fabricante del motor británica Rolls Royce, y dos proveedores de Airbus sin nombre.Los cibercriminales se dirigen a gran multinacional de ingeniería y pequeñas empresas de consultoría y en las cadenas de suministro.
Como parte de la isla de los ataques de salto (ataques a las cadenas de suministro), cibercriminales utilizan la conexión entre la víctima y sus socios, Por ejemplo, redes privadas virtuales (VPNs), para penetrar en las redes de ordenadores.
“Los informes anteriores de los últimos acontecimientos relacionados a las industrias aeroespacial y de defensa que han vinculado a APT10 y el Ministerio de Seguridad del Estado de la provincia de Jiangsu [China]. Aunque la naturaleza de la actividad de los delincuentes complica la atribución, el análisis de la campaña indica un nuevo grupo, que llamamos Avivore,” – Oliver dijo Fay, analista jefe de seguridad de la información de contexto.
Según los investigadores, utiliza el grupo de la PlugX troyano de acceso remoto (RATA), que a menudo fue utilizado por APT10.
sin embargo, tácticas de grupo, técnicas, y procedimientos, así como la infraestructura y otras herramientas, diferir significativamente desde los cibercriminales chinos. Este hecho permitió a los expertos que concluyen que Avivore es un grupo hasta ahora desconocido patrocinado por el gobierno.
leer también: Los delincuentes atacaron a las compañías petroleras estadounidenses utilizando Adwind de Troya
Los criminales son “muy capaz”, ya que hábilmente utilizan una técnica llamada viva-de-la-tierra (el uso de aplicaciones locales para fines maliciosos) y enmascarar sus actividades en las actividades diarias del negocio de los empleados de las empresas objetivo. También mantienen la seguridad de funcionamiento y eliminar todos los rastros para evitar ser detectados.
Con base en la información y los activos buscada por AVIVORE, Contexto seguridad de la información evalúa con confianza moderada que el objetivo de la reciente campaña fue el robo de la propiedad intelectual de las organizaciones de víctimas.
Recomendaciones futuras y mitigaciones de seguridad de la información de contexto:
- Imponer restricciones de acceso, conexiones con proveedor sobre VPN y restringir el acceso únicamente a los datos y activos que necesitan para llevar a cabo sus acciones.
- Asegurar que las medidas de seguridad, como la autenticación de factores múltiples y una mayor auditoría / registro se despliegan a los hosts y servicios en las que se requieren para conectar proveedores.
- Asegurar que los servicios de acceso remoto externos implementan retención del registro apropiado. Registros deben contener suficiente información sobre las fuentes de las conexiones de entrada para permitir la identificación de anomalías, tales como concurrentes inicios de sesión con la geografía imposible.
- Asegúrese de que las credenciales de las cuentas de muchos privilegios y servicios remotos se almacenan de forma segura, y su uso se controla apropiadamente.
- Donde sea posible, aplicaciones, documentación e información técnica relacionada con la infraestructura de red y la configuración de los servicios de acceso remoto deben estar disponibles sólo para los ingenieros y personal de soporte.
