Nel recente passato, il settore aereo e diversi vettori aerei hanno affrontato uno dei più grandi attacchi alla catena di approvvigionamento. Le devastanti conseguenze dell’attacco al SITA Passenger Service System (PSS), che fornisce servizi a circa il 90% delle compagnie aeree in tutto il mondo, sono ora collegate a un attore dello stato nazionale cinese.
La campagna, nome in codice ColunmTK, ha una possibile connessione con un prolifico attore di minacce nazionale dello stato di lingua cinese APT41, secondo i ricercatori del Group-IB.
- Il rapporto è stato pubblicato dopo che Air India ha segnalato una massiccia violazione dei dati dei passeggeri il 21 maggio, causata da un precedente attacco contro SITA.
- L’attacco ha interessato 4.500.000 interessati a livello globale, compresi i dati relativi ai clienti di Air India.
- Gli aggressori hanno cercato di aumentare i privilegi locali con l’aiuto del malware BadPotato e hanno compromesso almeno 20 dispositivi dalla rete di Air India durante il movimento laterale.
Metodo di attacco di APT41
- Il gruppo di hacker ha utilizzato uno specifico certificato SSL nell’attacco contro Air India, che è stato rilevato da cinque host. Questi cinque host sono stati utilizzati nelle precedenti campagne del gruppo APT41.
- Gli hacker hanno eseguito il tunneling DNS ed estratto i dati da dispositivi come SITASERVER4, AILCCUALHSV001, AILDELCCPOSCE01, AILDELCCPDB01 e WEBSERVER3.
- Inoltre, hanno diffuso i beacon Cobalt Strike su altri dispositivi della rete della compagnia aerea.
Come nel caso di molti altri recenti attacchi alla catena di approvvigionamento, questa violazione sta rivelando lentamente il suo impatto. È possibile che più clienti SITA possano identificare e rivelare la violazione da parte loro nelle prossime settimane. E a causa della portata mondiale di SITA, si prevede che la maggior parte delle organizzazioni in questo settore sarà colpita, direttamente o indirettamente, a causa di questo sofisticato attacco alla catena di approvvigionamento.