9月12日据The Record报道,欧洲跨国航空航天公司空中客车公司(Airbus) 确认其3,200家供应商的数据(包括姓名、家庭地址、电子邮件地址以及电话号码)被泄露。目前空客公司已启动本次网络安全事件调查。另据Hudson Rock的一份报告,空中客车公司的门户网站受到威胁行为者USDoD的攻击,该威胁者与2022年12月FBI InfraGard系统遭攻击有关。空中客车公司确认,攻击者通过对一名土耳其航空公司员工的攻击,利用客户相关的IT帐户(用于从该航空航天公司的门户网站下载文件)实施了后续攻击。空客发言人Philippe
Gmerek表示:“我们的安全团队立即采取了补救和后续措施,以防止我们的系统受到损害。” 此前,美国网络安全和基础设施安全局、美国网络司令部和联邦调查局警告称,发现了针对一家航空航天公司的各种民族国家网络攻击。
据Hudson Rock报道,威胁行为者——似乎与2022年12月入侵FBI InfraGard系统有关-公开发布了盗取的敏感信息,但没有提出任何要求。关于威胁行为者或其动机的细节知之甚少,但攻击者表示自己是相对较新的勒索软件组织“Ransomed”的成员。欧洲航空航天巨头空中客车公司9月12日表示,有报道称一名黑客将该公司3,200家供应商的信息发布到暗网上,该公司正在调查一起网络安全事件。一个化名“USDoD”的相对不知名的威胁行为者发布了一个帖子,其中他们还出售FBI 共享系统“InfraGard”的数据库。由于“InfraGard”的敏感性,这次泄露激起了众多研究人员的好奇心,并引起了各种网络安全博客和文章的关注。”
KrebsOnSecurity关于InfraGard黑客攻击的博文
在执法部门关闭“Breached”论坛后,包括“USDoD”在内的网络犯罪分子纷纷寻找替代平台来出售被盗数据。这种争夺导致了一个名为“BreachForums”的新网络犯罪论坛的出现。2023年9月,“USDoD”在这个新论坛上发布了两个帖子,时间间隔只有几分钟。在第一个贴子中,威胁行为者宣布他们是臭名昭著的勒索软件组织“Ransomed”的正式成员。
“USDoD”宣布加入“Ransomed”勒索软件组织
“Ransomed”是一个相对较新的勒索软件组织,正在迅速获得关注,并自豪地在Twitter上声称在2023年9月期间针对大多数公司发起了勒索软件攻击。
取自ransomwatch.telemetry.ltd
在第二条更令人震惊的帖子中,“USDoD”曝光了3,200家敏感空客供应商的个人信息,包括姓名、地址、电话号码和电子邮件地址等联系方式,同时声称洛克希德·马丁公司和雷神公司可能是下一个目标。
该主题由USDoD发布
泄露的样本显示了罗克韦尔柯林斯、泰雷兹集团等空中客车供应商
威胁行为者通常不会透露他们的入侵技术,但在这次极其罕见的泄露中,“USDoD”透露,他们通过利用“土耳其航空公司的员工访问权限”获得了空客的数据。利用这些信息,Hudson Rock研究人员成功追踪了上述员工的访问情况——一台于2023年8月感染了信息窃取恶意软件的土耳其计算机。
在Hudson Rock的数据库中发现的受感染员工的凭据
来自受感染计算机的信息
如图所示,该计算机属于土耳其航空公司的一名员工,其中包含空客的第三方登录凭据详细信息。受害者可能下载了Microsoft .NET框架的盗版版本,如恶意软件路径所示。因此,他们成为利用常用RedLine信息窃取家族的威胁行为者的受害者。从信息窃取者感染中获得的凭据已成为近年来主要的初始攻击媒介,为威胁行为者提供了进入公司的简单入口点,从而促进了数据泄露和勒索软件攻击。需要强调的是,Hudson Rock在感染当天就掌握了该员工被泄露的数据,这突显土耳其航空和空客公司错失了利用Hudson Rock的服务预防这一事件的机会。
更新:空中客车公司的CERT 团队能够确定黑客攻击源自那台Hudson Rock识别的受感染计算机自2018年以来,作为一种网络犯罪趋势,信息窃取者感染激增了令人难以置信的6000%,使其成为威胁行为者用来渗透组织和执行网络攻击(包括勒索软件、数据泄露、帐户接管和企业间谍活动)的主要初始攻击媒介。2019年,空客遭遇了一系列针对其供应商的网络攻击,这些攻击的主要目的是窃取商业机密。1.https://www.hudsonrock.com/blog/an-avoidable-breach-fbi-hacker-leaks-sensitive-airbus-data2.https://therecord.media/airbus-data-leak-suppliers-breachedforums