NCC Group และบริษัทในเครือ Fox-IT ได้ออกรายงานถึงกลุ่มแฮกเกอร์ชาวจีนที่ต้องสงสัยที่มีชื่อกลุ่มว่า “Chimera” ได้โจมตีอุตสาหกรรมสายการบินในช่วงไม่กี่ปีที่ผ่านมา โดยมีเป้าหมายเพื่อการขโมยข้อมูลผู้โดยสารและเพื่อติดตามการเคลื่อนไหวของบุคคลที่น่าสนใจ

ตามรายงานของ NCC Group และ Fox-IT ที่ได้สังเกตเห็นกลุ่มแฮกเกอร์ต้องสงสัยนี้ในระหว่างการรับมือกับเหตุการณ์การโจมตีต่าง ๆ (incident response) ระหว่างเดือนตุลาคม 2019 ถึงเมษายน 2020 โดยเป้าหมายของการโจมตีเหล่านี้จะพุ่งเป้าไปที่บริษัทเซมิคอนดักเตอร์และบริษัทในอุตสาหกรรมสายการบินในหลายประเทศและไม่ใช่เฉพาะในเอเชีย

NCC และ Fox-IT กล่าวต่อว่าได้พบไฟล์ DLL ที่ออกแบบมาเป็นพิเศษถูกใช้ในการดึงข้อมูล Passenger Name Records (PNR) ในระหว่างที่ทางบริษัทเข้าไปรับมือกับสถานะการการโจมตีในบริษัทในอุตสาหกรรมสายการบิน

กลุ่ม Chimera โจมตีโดยเริ่มต้นด้วยการรวบรวมข้อมูล Credentials เพื่อเข้าสู่ระบบของเป้าหมาย โดยการใช้ข้อมูลที่ถูกซื้อขายในฟอรัมแฮกเกอร์หรือข้อมูลที่ถูกรั่วไหลจากฟอรัมต่างๆ จากนั้นจะใช้เทคนิค Credential stuffing หรือ Password spraying ในเข้าสู่บัญชีของพนักงานที่อยู่ภายในบริษัทที่ตกเป้าหมาย เช่น บัญชีอีเมล และเมื่อสำเร็จแล้วจะทำการค้นหารายละเอียดของการเข้าสู่ระบบสำหรับขององค์กรเช่นระบบ Citrix และอุปกรณ์ VPN เป็นต้น เมื่อสามารถอยู่ในเครือข่ายภายในได้ผู้บุกรุกมักจะติดตั้ง Cobalt Strike ซึ่งเป็นเครื่องมือในการทดสอบการเจาะระบบ จากนั้นจะทำการเคลื่อนย้ายไปยังระบบต่าง ๆ ให้ได้มากที่สุดโดยค้นหาทรัพย์สินทางปัญญา (Intellectual Property) และรายละเอียดผู้โดยสาร ซึ่งเมื่อพบและรวบรวมข้อมูลแล้ว ข้อมูลเหล่านี้ได้จะถูกอัปโหลดไปยังบริการคลาวด์สาธารณะเช่น OneDrive, Dropbox หรือ Google Drive เพื่อป้องกันการตรวจสอบหรือบล็อกภายในเครือข่ายที่ถูกละเมิด

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบระบบของท่านอยู่เป็นประจำ ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดและควรใช้อุปกรณ์ในการตรวจจับเหตุการ์ต่างๆ เพื่อเป็นการป้องกันการตกเป็นเป้าหมายของผุ้ประสงค์ร้าย

ที่มา: zdnet