2021年5月21日,印度旗舰航空公司---印度航空(Air India)在其网站上发布了一份关于数据泄露的官方声明。该声明透露,此次数据泄露是由该航空公司的IT服务提供商SITA在今年2月份遭受的一起网络攻击事件引起的,攻击者入侵了SITA的旅客服务系统(PSS)来访问他们的某些隐私数据,PSS是SITA用来处理乘客从订票、登机和行李控制的一系列交易的关键业务系统。据披露,SITA PSS遭受网络攻击影响了全球450万个数据对象,其中就包括与印度航空客户相关的数据。
俄罗斯威胁情报厂商Group-iB官方博客近日发布题为《大型航空公司抢劫案》的报告称,Group-iB的威胁情报团队利用其外部威胁追踪工具,将针对印度航空的数据窃取事件归因于黑客组织---APT41,并将攻击行动命名为ColunmTK。Group-iB报告称,APT41也被称为“Barium”、“Winnti”、“邪恶熊猫”和“邪恶蜘蛛”,其攻击行动至少从2007年就已经开始。APT41网络间谍行动以窃取数字证书而闻名。
Group-iB调查发现,印度航空公司的网络存在工作站受损和200MB数据外泄的情况。APT41与ColunmTK攻击使用的基础设施存在关联。在分析针对印度航空公司的网络攻击中涉及的C&C服务器的网络基础设施时,Group-iB的威胁情报和属性系统显示,威胁行为者使用了特定的SSL证书,该证书仅在五台主机上被检测到。攻击者使用的一个IP地址(45.61.136.199)前不久被微软公司关联到APT41。Group-iB的威胁情报团队将调查结果通知了印度航空公司,以便他们能够采取必要的措施来缓解威胁。为了帮助其他公司检测是否遭到类似ColunmTK攻击,Group-iB公司在报告中提供了攻陷指标(IOC)。APT41使用的IP和域名如下:185.118.164.198;
104.224.169.214;
45.61.136.199;
185.118.166.66;
149.28.134.209;
colunm.tk.
背景补充:
1、SITA
SITA的全称为国际航空电信协会,1949年2月由法国航空、比利时航空、瑞士航空等11家航空公司共同成立,是一家跨国信息技术公司,专门向航空业提供信息技术和电信服务。作为国际航空运输协会(IATA)成员之一,SITA营运模式为国际性非营利事业组织,资讯服务对象以全球性国际航空相关产业的会员为主,包括航空运输业、飞机引擎制造业、旅行票务业、各国出入境管理当局、飞机场管理当局等运输服务行业。目前有2800多家航空公司、机场等客户与SITA保持合作关系。其中,全球90%的航空公司使用SITA提供的服务,这些航空公司依靠SITA的乘客服务系统来管理机票预订,票务处理、飞机起降等事项。2021年3月4日,SITA宣布此前遭遇了一起安全事件。3月5日,新加坡航空发布一则关于常旅客会员信息泄露的声明,将全球最大的航空业IT服务提供商SITA遭遇黑客袭击一事推至公众视野。针对黑客袭击,SITA发表声明称,本次安全事件由黑客袭击引起,涉及到存储在SITA旅客服务系统(Passenger Service System)服务器上的多家航司乘客数据。然而,这一声明没有得到应有的关注,直到作为SITA客户之一的印度航空(Air India)发布报告称,由于早些时候针对SITA的一次攻击,5月21日发生了大规模乘客数据泄露事件。3月至5月期间,新加坡航空(Singapore Airlines)、马来西亚航空(Malaysia Airlines)等多家航空公司披露了数据泄露事件。以上这些公司均为SITA的客户。
2、APT41
APT即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。APT41组织也被称为“Barium”、“Winnti”、“邪恶熊猫”和“邪恶蜘蛛”,被称为全球最危险的11个网络间谍组织之一,据称其攻击行动至少从2007年就已经开始。APT41网络间谍行动以窃取数字证书而闻名,使用多种不同的代码家族和工具,并且通常依靠鱼叉式网络钓鱼电子邮件来进行渗透。根据调查显示,在近一年的活动中,APT41破坏了数百个系统,并使用了近150种独特的恶意软件,包括后门程序、凭证窃取程序、键盘记录程序以及rootkit。此外,APT41还最小限度地部署了rootkit和主引导记录(MBR)引导包,以隐藏其恶意软件并在选定的受害者系统上保持持久性。
美安全公司FireEye曾多次发布关于APT41的报告,声称该组织多年来一直针对医疗保健、高科技、电信行业、高等教育、旅游服务、新闻/媒体公司等领域开展网络间谍活动。FireEye还表示,除了网络间谍活动,APT41还存在经济动机。比如,攻击游戏公司、操纵虚拟货币,甚至试图部署勒索软件。
(来源:安全牛,Group-iB博客,腾讯网等相关文章)
