Forskere ved Context Information Security har identifisert en ny cybercriminal gruppe Avivore, som har angrepet Airbus flere ganger i løpet av de siste månedene.
ENttackers utført cyberangrep på Airbus gjennom nettverk av franske konsulentselskapet Expleo, Britiske motorprodusenten Rolls Royce, og to ikke navngitte Airbus leverandører.Nettkriminelle målrette store multinasjonale og små engineering og konsulentfirmaer i forsyningskjeder.
Som en del av Øyhopping angrep (angrep på forsyningskjeder), cyberkriminelle bruker tilkoblingen mellom offeret og dets partnere, For eksempel, virtuelle private nettverk (VPN), å trenge inn i datanettverk.
“Tidligere rapporter av nyere hendelser med fly- og forsvarsindustrien har knyttet dem til APT10 og Ministry of State Security i Jiangsu-provinsen [Kina]. Selv om innholdet i aktiviteten av kriminelle kompliserer attribusjon, analyse av kampanjen angir en ny gruppe, som vi kalte Avivore,” – Said Oliver Fay, sjefsanalytiker hos Context Information Security.
Ifølge forskerne, gruppen benytter PlugX Remote Access Trojan (ROTTE), som ofte ble brukt av APT10.
derimot, gruppe taktikk, teknikker, og prosedyrer, samt infrastruktur og andre verktøy, signifikant forskjellig det fra kinesiske nettkriminelle. Dette faktum tillatt eksperter konkluderte med at Avivore er en tidligere ukjent gruppe sponset av regjeringen.
Les også: Kriminelle angrepet amerikanske oljeselskaper bruker Adwind Trojan
Kriminelle er “svært dyktige”, fordi de dyktig bruker en teknikk som kalles stue-off-the-land (bruk av lokale applikasjoner for skadelige formål) og maskere sine aktiviteter i den daglige virksomheten til ansatte i målet selskaper. De har også opprettholde driftssikkerheten og fjerne alle spor for å unngå å bli oppdaget.
Basert på informasjonen og eiendeler søkt av AVIVORE, Context Information Security vurderer med moderat tillit til at målet med den siste kampanjen var intellektuell eiendom tyveri fra offerets organisasjoner.
Fremtidige Anbefalinger og Begrensende faktorer fra Context Information Security:
- Pålegge Restriksjoner på leverandør forbindelser over VPN og begrense tilgangen kun til data og eiendeler de trenger for å utføre sine handlinger.
- Sørg for at sikkerhetstiltak, slik som multifaktor autentisering og forbedret revisjon / logging er utplassert for å verter og tjenester inn i hvilke leverandører kreves for å forbinde.
- Sørg for at eksterne ekstern tilgang til tjenester iverksette hensiktsmessige log oppbevaring. Logger bør inneholde nok informasjon om kildene til inngående tilkoblinger for å muliggjøre identifisering av avvik, slik som samtidige pålogginger med umulig geografi.
- Sørg for at legitimasjon for svært privilegerte kontoer og eksterne tjenester blir lagret sikkert, og deres anvendelse er hensiktsmessig overvåkes.
- Hvor mulig, applikasjoner, dokumentasjon og teknisk informasjon knyttet til nettverksinfrastruktur og konfigurasjon av ekstern tilgang tjenester skal gjøres tilgjengelig kun for ingeniører og IT-støttepersonell.
