Voorheen onbekende gouvernementele groep Avivore aangevallen airbus

Onderzoekers van Context Information Security hebben geïdentificeerd een nieuwe cybercrimineel groep Avivore, die Airbus meerdere malen aangevallen in de afgelopen maanden.

EENttackers op Airbus uitgevoerd cyberaanvallen via de netwerken van de Franse adviesbureau Expleo, Britse motorfabrikant Rolls Royce, en twee niet nader genoemde Airbus leveranciers.

Cybercriminelen richten op grote multinationals en kleine ingenieurs- en adviesbureaus in supply chains.

Als onderdeel van het eiland hoppen aanvallen (aanvallen op supply chains), cybercriminelen gebruik maken van de verbinding tussen het slachtoffer en haar partners, Bijvoorbeeld, virtual private networks (VPN's), tot computernetwerken te dringen.

“Eerdere rapporten van de recente incidenten met de luchtvaart- en defensie-industrie hebben ze gekoppeld aan APT10 en het ministerie van Staatsveiligheid van de provincie Jiangsu [China]. Hoewel de aard van de activiteit van criminelen compliceert attributie, de analyse van de campagne wijst op een nieuwe groep, die wij geroepen Avivore,” – Said Oliver Fay, hoofdanalist van Context Information Security.

Volgens de onderzoekers, de groep maakt gebruik van de PlugX Remote Access Trojan (RAT), die vaak werd gebruikt door APT10.

Echter, groep tactiek, technieken, en procedures, alsmede infrastructuur en andere hulpmiddelen, aanzienlijk verschillen uit Chinese cybercriminelen. Dit feit toegestaan ​​experts concluderen dat Avivore is een voorheen onbekende groep gesponsord door de overheid.

Lees ook: Criminelen aangevallen Amerikaanse oliemaatschappijen dankzij Adwind Trojan

Criminelen zijn “zeer goed in staat”, omdat ze vakkundig gebruik van een techniek genaamd woon-off-the-land (het gebruik van lokale toepassingen voor kwaadaardige doeleinden) en masker hun activiteiten in de dagelijkse activiteiten van de medewerkers van target bedrijven. Ze operationele veiligheid te behouden ook en verwijder alle sporen om ontdekking te voorkomen.

Op basis van de informatie en middelen gezocht door AVIVORE, Context Information Security beoordeelt met matige vertrouwen dat de doelstelling van de recente campagne was diefstal van intellectueel eigendom van het slachtoffer organisaties.

Toekomstige Aanbevelingen en Beperkende factoren van Context Information Security:

  • Opleggen toegang beperkingen van de leverancier verbindingen via VPN's en de toegang beperken tot gegevens en activa die zij nodig hebben om hun acties uit te voeren.
  • Zorg ervoor dat de veiligheidsmaatregelen, zoals diverse verificatie en verbeterde auditing / logging worden ingezet om hosts en diensten in welke leveranciers nodig zijn om verbinding.
  • Zorg ervoor dat de externe toegang op afstand diensten te implementeren geschikte bewaarmethode. Logs moet voldoende informatie over de bronnen van binnenkomende verbindingen bevatten die ter identificatie van afwijkingen mogelijk te maken, zoals gelijktijdige log-ins met onmogelijke geografie.
  • Zorg ervoor dat referenties voor zeer bevoorrechte accounts en diensten op afstand veilig worden opgeslagen, en het gebruik ervan voor een goede opvolging.
  • Waar mogelijk, toepassingen, documentatie en technische informatie met betrekking tot de netwerkinfrastructuur en de configuratie van remote access services moet alleen beschikbaar zijn voor ingenieurs worden gemaakt en IT-ondersteuning van personeel.

Polina Lisovskaja

Ik werk al jaren als marketingmanager en zoek graag naar interessante onderwerpen voor jou

Laat een antwoord achter

Terug naar boven knop