แม้ว่าข่าวข้อมูลรั่วไหลของสายการบินอินเดียจะเป็นที่สนใจเป็นอย่างมากในเดือนที่ผ่านมา แต่สายการบินแห่งขาติอินเดียนี้ยังถูกพบว่ามีการถูกโจมตีทางไซเบอร์อีกเหตุการณ์หนึ่ง เป็นระยะเวลาประมาณถึง 2 เดือนกับอีก 26 วัน โดยผู้เชี่ยวชาญมีความเชื่อมั่นพอสมควรว่าจากข้อมูลหลักฐานที่พบคาดว่าผู้ไม่หวังดีที่อยู่เบื้องหลังการโจมตีนี้คือกลุ่มแฮ็กเกอร์ชาวจีน ซึ่งถูกเรียกว่า APT41

Group-IB(บริษัทซึ่งเชี่ยวชาญทางด้าน Threat Hunting และ Cyber Intelligence ซึ่งมีสำนักงานใหญ่อยู่ที่ประเทศสิงคโปร์) เรียกแคมเปญที่ใช้ในการโจมตี Air India ในครั้งนี้ว่า "Colunm TK" โดยตั้งชื่อจากโดเมนของ command-and-control (C2) server ที่ถูกใช้สำหรับควบคุมเครื่องที่ถูก compromised

โดย Group-IB กล่าวอีกว่าจากข้อมูลที่ทาง Group-IB ตรวจพบ เหตุการณ์นี้อาจส่งผลกระทบกับทุกบริษัทสายการบิน หากสายการบินยังไม่รีบทำการตรวจสอบแคมเปญ "Colunm TK" นี้ในระบบเครือข่ายของตน

Group-IB อ้างว่าการโจมตีที่เกิดขึ้นนี้คือการโจมตีในรูปแบบ Supply-chain attack (การโจมตีไปที่บริษัท หรือ Software ที่บริษัทที่เป็นเป้าหมายจริงๆใช้บริการ หรือใช้งานอยู่ เหตุการณ์ที่เกิดขึ้นก่อนหน้านี้ที่เป็นที่รู้จักกันคือเคสการโจมตี SolarWinds เพื่อหวังผลในการโจมตีไปยังบริษัทอื่นๆที่มีการใช้งาน SolarWinds) โดยเป้าหมายคือ SITA (บริษัทจากประเทศสวิตเซอร์แลนด์ผู้ให้บริการทางด้าน IT กับสายการบินต่างๆทั่วโลก) แต่ทาง SITA ยืนยันกับทาง The Hacker News เมื่อวันที่ 11 มิถุนายนว่าเหตุการณ์ที่บริษัทถูกโจมตีที่ระบบ SITA PSS ก่อนหน้านี้ และเหตุการณ์การโจมตี Air India ที่ Group-IB อ้างถึงไม่มีความเกี่ยวข้องกัน

กลุ่มแฮ็กเกอร์ชาวจีน APT41 นี้ ยังถูกเรียกด้วยชื่ออื่นๆเช่น Winnti Umbrella, Axiom และ Barium โดยมีส่วนเกี่ยวข้องกับการโจมตี และขโมยข้อมูลของบริษัทที่เกี่ยวข้องกับสุขภาพ, เทคโนโลยี, การสื่อสาร, เกมส์, ท่องเที่ยว และสำนักข่าวต่างๆอีกด้วย โดยมีเป้าหมายคือการหาผลประโยชน์ทางการเงิน

ย้อนหลังไปเมื่อวันที่ 21 พฤษภาคมที่ผ่านมา Air India ออกมาเปิดเผยว่ามีข้อมูลรั่วไหลออกไปประมาณ 4.5 ล้านรายการ จากการถูกโจมตีของระบบ Passenger Service System (PSS) ของ SITA ในช่วงเดือนกุมภาพันธ์ โดยเป็นข้อมูลของลูกค้าสายการบินในระยะเวลาประมาณ 10 ปีที่ผ่านมา

ข้อมูลที่รั่วไหลออกไปประกอบไปด้วยข้อมูลส่วนบุคคลที่ลงทะเบียนตั้งแต่ 26 สิงหาคม 2011 ถึง 3 กุมภาพันธ์ 2021 รวมไปถึงชื่อ, วันเดือนปีเกิด, ข้อมูลการติดต่อ, ข้อมูล Passport, ข้อมูลการเดินทาง, ข้อมูลโปรแกรมสะสมไมล์ของ Star Alliance และ Air India รวมถึงข้อมูลบัตรเครดิตอีกด้วย

Mandiant ซึ่งเป็นบริษัทในเครือของ FireEye ซึ่งให้ความช่วยเหลือ SITA ในความพยายามจัดการกับการโจมตีที่เกิดขึ้น ได้ให้ข้อมูลว่าการโจมตีที่เกิดขึ้นกับ SITA มีความซับซ้อน และมีการใช้เทคนิคการโจมตีขั้นสูง โดยเป้าหมายจริงๆของผู้โจมตียังไม่แน่ชัด

การโจมตีครั้งใหม่กับสายการบินอินเดีย

ผลการวิเคราะห์ล่าสุดของ Group-IB ซึ่งเปิดเผยออกมาพบว่าอย่างน้อยตั้งแต่วันที่ 23 กุมภาพันธ์ เครื่องที่ถูกยึดครองโดยผู้ไม่หวังดีภายในระบบเครือข่ายของ Air India (ชื่อเครื่อง SITASERVER4) มีการติดต่อออกไปยังเซิร์ฟเวอร์ปลายทางที่มีการติดตั้ง Cobalt Strike payloads ไว้ตั้งแต่ 11 ธันวาคม 2020

หลังจากเครื่องนี้ถูกยึดเป็นเครื่องแรก ก็พบว่ามีการพยายามคงสถานะการยึดเครื่องไว้(Persistence) และใช้เครื่องมือเพื่อค้นหา Password สำหรับโจมตีไปยังเครื่องอื่นๆภายในระบบเครือข่าย โดยมีเป้าหมายเพื่อหาข้อมูลที่อยู่บนเครื่องต่างๆ

ผู้เชี่ยวชาญของ Group-IB Nikita Rostovcev กล่าวว่า โดยผู้โจมตีมีการใช้ mimikatz ในการค้นหา NTLM hashes และ passwords จากเครื่อง จึงทำให้มีเครื่องต่างๆที่ถูกยึดครองอีกไม่ต่ำกว่า 20 เครื่อง รวมไปถึงผู้โจมตียังพยายามยกระดับสิทธิ์ของ User โดยใช้ BadPotato malware อีกด้วย

สรุปว่าผู้โจมตีสามารถนำข้อมูลออกไปได้ประมาณ 233 MB จากทั้งหมด 5 เครื่องคือ SITASERVER4, AILCCUALHSV001, AILDELCCPOSCE01, AILDELCCPDB01 และ WEBSERVER3 โดยใช้เวลา 24 ชั่วโมง 5 นาทีในการกระจาย Cobalt Strike beacons ไปยังเครื่องต่างๆภายในระบบเครือข่ายของสายการบิน แต่จุดเริ่มต้นในตอนนี้ยังไม่แน่ชัด

โดยการเชื่อมต่อไปยัง C2 servers ของการโจมตีครั้งนี้ มีบางส่วนที่ตรงกับ C2 server ของ Barium (อีกชื่อหนึ่งของ APT41) ซึ่งเคยถูกตรวจพบในการโจมตีอื่นๆก่อนหน้านี้ และเทคนิคในการหยุดใช้ domains หลังจากการโจมตีเสร็จสิ้น ก็เป็นไปในลักษณะเดียวกัน รวมถึง File "install.