​​Мы уже рассказывали про февральскую атаку на ведущего поставщика телекоммуникационных и IT-решений для мировой пассажирской и грузовой авиации SITA, в результате которой пострадали данные, хранившиеся на серверах системы SITA Passenger Service System (SITA PSS).

В мае Air India сообщила о том, что информация о 4,5 млн. ее пассажиров утекла в ходе атаки на SITA. Кроме того, другие азиатские авиакомпании также сообщали об утечках клиентских данных. Считалось, что за атакой на SITA стоял оператор ransomware, тем более после того, как информация Air India нашлась в продаже на Dark Leak Market.

Однако сингарусская компания Group-IB предлагает альтернативную историю - ̶г̶д̶е̶ ̶Т̶р̶е̶т̶и̶й̶ ̶р̶е̶й̶х̶ ̶п̶о̶б̶е̶д̶и̶л̶ ̶в̶о̶ ̶В̶т̶о̶р̶о̶й̶ ̶м̶и̶р̶о̶в̶о̶й̶ ̶б̶л̶а̶г̶о̶д̶а̶р̶я̶ ̶т̶е̶х̶н̶о̶л̶о̶г̶и̶ч̶е̶с̶к̶о̶м̶у̶ ̶с̶к̶а̶ч̶к̶у̶ ̶и̶ ̶о̶к̶к̶у̶л̶ь̶т̶н̶ы̶м̶ ̶п̶р̶а̶к̶т̶и̶к̶а̶м̶. называет атаку делом рук китайской APT 41, которую некоторые приравнивают к APT Winnti (но, по нашему мнению, это не так). Киберкампанию ГрИБы назвали ColunmTK.

Итак, исследователи посчитали появившуюся на Dark Leak Market базу Air India фейковой и решили разобраться в ситуации подробнее.

В феврале ГрИБная система Threat Intelligence & Attribution обнаружила зараженные машины в сети Air India, которые обменивались данными с управляющим центром. Первым компьютером, который начал обмен данными с этим С2 оказался хост SITASERVER4, который, по предположению экспертов, был связан с сервером обработки данных SITA.

Далее более 20 машин в сети Air India были взломаны в ходе бокового перемещения. Злоумышленники выкачали более 200 Мб информации с зараженных машин. Всего атака на авиакомпанию длилась, согласно Group-IB, почти три месяца.

Исходя из изложенного, исследователи предположили, что сеть SITA послужила точкой первичной компрометации Air India. Таким образом вся киберкампания ColunmTK была ни чем иным, как атакой на цепочку поставок.

Проанализировав вредоносную инфраструктуру и использованные хакерами SSL-сертификаты ресерчеры выявили ряд совпадений с ранее описанными другими инфосек командами киберкампаниями, которые атрибутировались как проведенные APT 41.

Интересный поворот.

​​Поймай инсайдера, если сможешь. Чем хороша DLP и почему она – лишь вершина айсберга защиты от утечек

Как защитить компанию от инсайдерских утечек? Эксперты расскажут, как создать комплексную систему и автоматизировать процессы информационной безопасности:

• Что такое DLP и как можно усилить систему,
• Как работают невидимые маркировки,
• Как бороться с фото/скриншотами/печатью конфиденциальных данных.

Присоединяйся, если тебе интересно узнать о современных технологиях защиты чувствительной информации.

Бесплатный онлайн-митап КРОК пройдет 17 июня в 11:00

Security-новости от Александра Антипова (securitylab.ru). Выпуск #21

Anonymous объявили войну Илону Маску из-за его чрезмерного влияния на курс криптовалют, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото, а Microsoft исправила около 50 уязвимостей в различных продуктах. В США конгрессмен случайно раскрыл пароль своей почты, в Китае новая нейросеть в 10 раз мощнее ближайшего конкурента, а многие боссы этих двух стран готовы шпионить за работниками ради защиты коммерческой тайны. Американский Минюст вернул половину выкупа, выплаченного вымогателям Darkside после атаки на Colonial Pipeline, ежегодно ущерб от кибервымогателей возрастает на 30%, а через 10 лет превысит $265 млрд.

В двадцать первом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю. Среди тем выпуска:

- ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками,
- Apple заплатила студентке миллионы долларов за слив интимных фото,
- Anonymous объявили войну Илону Маску из-за курса криптовалют,
- Microsoft исправила рекордное число 0-Day-уязвимостей с выпуском июньского пакета обновлений,
- в Китае создали гигантскую нейросеть,
- конгрессмен США случайно показал PIN-код и пароль своей электронной почты в Twitter,
- ущерб от атак вымогателей в следующем десятилетии превысит $265 млрд,
- Минюст США вернул $2,3 млн в криптовалюте, выплаченные вымогателям Darkside,
- треть руководителей готовы шпионить за персоналом ради защиты коммерческой тайны.

https://www.youtube.com/watch?v=R_pVPyBDmQ0