แฮ็กเกอร์ชาวจีนถูกคาดว่าอยู่เบื้องหลังการโจมตีทางไซเบอร์ครั้งที่สองของแอร์อินเดีย

แม้ว่าข่าวข้อมูลรั่วไหลของสายการบินอินเดียจะเป็นที่สนใจเป็นอย่างมากในเดือนที่ผ่านมา แต่สายการบินแห่งขาติอินเดียนี้ยังถูกพบว่ามีการถูกโจมตีทางไซเบอร์อีกเหตุการณ์หนึ่ง เป็นระยะเวลาประมาณถึง 2 เดือนกับอีก 26 วัน โดยผู้เชี่ยวชาญมีความเชื่อมั่นพอสมควรว่าจากข้อมูลหลักฐานที่พบคาดว่าผู้ไม่หวังดีที่อยู่เบื้องหลังการโจมตีนี้คือกลุ่มแฮ็กเกอร์ชาวจีน ซึ่งถูกเรียกว่า APT41

Group-IB(บริษัทซึ่งเชี่ยวชาญทางด้าน Threat Hunting และ Cyber Intelligence ซึ่งมีสำนักงานใหญ่อยู่ที่ประเทศสิงคโปร์) เรียกแคมเปญที่ใช้ในการโจมตี Air India ในครั้งนี้ว่า "Colunm TK" โดยตั้งชื่อจากโดเมนของ command-and-control (C2) server ที่ถูกใช้สำหรับควบคุมเครื่องที่ถูก compromised

โดย Group-IB กล่าวอีกว่าจากข้อมูลที่ทาง Group-IB ตรวจพบ เหตุการณ์นี้อาจส่งผลกระทบกับทุกบริษัทสายการบิน หากสายการบินยังไม่รีบทำการตรวจสอบแคมเปญ "Colunm TK" นี้ในระบบเครือข่ายของตน

Group-IB อ้างว่าการโจมตีที่เกิดขึ้นนี้คือการโจมตีในรูปแบบ Supply-chain attack (การโจมตีไปที่บริษัท หรือ Software ที่บริษัทที่เป็นเป้าหมายจริงๆใช้บริการ หรือใช้งานอยู่ เหตุการณ์ที่เกิดขึ้นก่อนหน้านี้ที่เป็นที่รู้จักกันคือเคสการโจมตี SolarWinds เพื่อหวังผลในการโจมตีไปยังบริษัทอื่นๆที่มีการใช้งาน SolarWinds) โดยเป้าหมายคือ SITA (บริษัทจากประเทศสวิตเซอร์แลนด์ผู้ให้บริการทางด้าน IT กับสายการบินต่างๆทั่วโลก) แต่ทาง SITA ยืนยันกับทาง The Hacker News เมื่อวันที่ 11 มิถุนายนว่าเหตุการณ์ที่บริษัทถูกโจมตีที่ระบบ SITA PSS ก่อนหน้านี้ และเหตุการณ์การโจมตี Air India ที่ Group-IB อ้างถึงไม่มีความเกี่ยวข้องกัน

กลุ่มแฮ็กเกอร์ชาวจีน APT41 นี้ ยังถูกเรียกด้วยชื่ออื่นๆเช่น Winnti Umbrella, Axiom และ Barium โดยมีส่วนเกี่ยวข้องกับการโจมตี และขโมยข้อมูลของบริษัทที่เกี่ยวข้องกับสุขภาพ, เทคโนโลยี, การสื่อสาร, เกมส์, ท่องเที่ยว และสำนักข่าวต่างๆอีกด้วย โดยมีเป้าหมายคือการหาผลประโยชน์ทางการเงิน

ย้อนหลังไปเมื่อวันที่ 21 พฤษภาคมที่ผ่านมา Air India ออกมาเปิดเผยว่ามีข้อมูลรั่วไหลออกไปประมาณ 4.5 ล้านรายการ จากการถูกโจมตีของระบบ Passenger Service System (PSS) ของ SITA ในช่วงเดือนกุมภาพันธ์ โดยเป็นข้อมูลของลูกค้าสายการบินในระยะเวลาประมาณ 10 ปีที่ผ่านมา

ข้อมูลที่รั่วไหลออกไปประกอบไปด้วยข้อมูลส่วนบุคคลที่ลงทะเบียนตั้งแต่ 26 สิงหาคม 2011 ถึง 3 กุมภาพันธ์ 2021 รวมไปถึงชื่อ, วันเดือนปีเกิด, ข้อมูลการติดต่อ, ข้อมูล Passport, ข้อมูลการเดินทาง, ข้อมูลโปรแกรมสะสมไมล์ของ Star Alliance และ Air India รวมถึงข้อมูลบัตรเครดิตอีกด้วย

Mandiant ซึ่งเป็นบริษัทในเครือของ FireEye ซึ่งให้ความช่วยเหลือ SITA ในความพยายามจัดการกับการโจมตีที่เกิดขึ้น ได้ให้ข้อมูลว่าการโจมตีที่เกิดขึ้นกับ SITA มีความซับซ้อน และมีการใช้เทคนิคการโจมตีขั้นสูง โดยเป้าหมายจริงๆของผู้โจมตียังไม่แน่ชัด

การโจมตีครั้งใหม่กับสายการบินอินเดีย

ผลการวิเคราะห์ล่าสุดของ Group-IB ซึ่งเปิดเผยออกมาพบว่าอย่างน้อยตั้งแต่วันที่ 23 กุมภาพันธ์ เครื่องที่ถูกยึดครองโดยผู้ไม่หวังดีภายในระบบเครือข่ายของ Air India (ชื่อเครื่อง SITASERVER4) มีการติดต่อออกไปยังเซิร์ฟเวอร์ปลายทางที่มีการติดตั้ง Cobalt Strike payloads ไว้ตั้งแต่ 11 ธันวาคม 2020

หลังจากเครื่องนี้ถูกยึดเป็นเครื่องแรก ก็พบว่ามีการพยายามคงสถานะการยึดเครื่องไว้(Persistence) และใช้เครื่องมือเพื่อค้นหา Password สำหรับโจมตีไปยังเครื่องอื่นๆภายในระบบเครือข่าย โดยมีเป้าหมายเพื่อหาข้อมูลที่อยู่บนเครื่องต่างๆ

ผู้เชี่ยวชาญของ Group-IB Nikita Rostovcev กล่าวว่า โดยผู้โจมตีมีการใช้ mimikatz ในการค้นหา NTLM hashes และ passwords จากเครื่อง จึงทำให้มีเครื่องต่างๆที่ถูกยึดครองอีกไม่ต่ำกว่า 20 เครื่อง รวมไปถึงผู้โจมตียังพยายามยกระดับสิทธิ์ของ User โดยใช้ BadPotato malware อีกด้วย

สรุปว่าผู้โจมตีสามารถนำข้อมูลออกไปได้ประมาณ 233 MB จากทั้งหมด 5 เครื่องคือ SITASERVER4, AILCCUALHSV001, AILDELCCPOSCE01, AILDELCCPDB01 และ WEBSERVER3 โดยใช้เวลา 24 ชั่วโมง 5 นาทีในการกระจาย Cobalt Strike beacons ไปยังเครื่องต่างๆภายในระบบเครือข่ายของสายการบิน แต่จุดเริ่มต้นในตอนนี้ยังไม่แน่ชัด

โดยการเชื่อมต่อไปยัง C2 servers ของการโจมตีครั้งนี้ มีบางส่วนที่ตรงกับ C2 server ของ Barium (อีกชื่อหนึ่งของ APT41) ซึ่งเคยถูกตรวจพบในการโจมตีอื่นๆก่อนหน้านี้ และเทคนิคในการหยุดใช้ domains หลังจากการโจมตีเสร็จสิ้น ก็เป็นไปในลักษณะเดียวกัน รวมถึง File "install.

SITA ออกเเถลงถึงการโจมตีทางไซเบอร์ ส่งผลกระทบให้ข้อมูลผู้โดยสารกลุ่มสายการบิน Star Alliance รั่วไหล

SITA บริษัทผู้ให้บริการไอทีสายการบินและสนามบินได้ออกเเถลงถึงการโจมตีทางไซเบอร์ โดยการโจมตีดังกล่าวส่งผลกระทบถึงระบบ SITA Passenger Service System (SITA PSS) ซึ่งเป็นระบบสำหรับการให้บริการผู้โดยสารสำหรับสายการบิน

ตามรายงานของ SITA ระบุว่าเหตุการณ์การบุกรุกที่เกิดขึ้นในวันที่ 24 กุมภาพันธ์ 2021 ที่ผ่านมา ซึ่งการสืบสวนเบื้องต้นคาดว่ามีข้อมูลของกลุ่ม Star Alliance ที่มีทั้งหมด 26 สายการบินที่อยู่บนเซิร์ฟเวอร์ถูกรั่วไหลออกไป โดยสายการบินหลายแห่งที่เป็นสมาชิกของ Star Alliance ได้รับการยืนยันว่าได้รับผลกระทบจากการละเมิดดังกล่าวรวมถึงสิงคโปร์แอร์ไลน์, มาเลเซียแอร์ไลน์, ฟินแอร์ของฟินแลนด์, เจจูแอร์ในเกาหลีใต้และแอร์นิวซีแลนด์

Singapore Airlines ได้ออกอีเมลแจ้งเตือนลูกค้าโดยมีรายละเอียดและอธิบายว่าข้อมูลของสมาชิกประมาณ 580,000 คนในโปรแกรมสะสมไมล์ KrisFlyer ถูกบุกรุก โดย Singapore Airlines ได้ระบุว่าทางสายการบินไม่ได้เป็นผู้ใช้ระบบ SITA PSS แต่การบุกรุกนั้นเกิดขึ้นกับสมาชิกของสายการบินแห่งหนึ่งในกลุ่มสมาชิก Star Alliance ที่มีทั้งหมด 26 สายการบินและเนื่องจากสายการบินต่าง ๆ ในกลุ่มต้องยืนยันสถานะสมาชิกระหว่างกันจึงมีการส่งข้อมูลสมาชิกบางส่วนไปมา ซึ่งทำให้ลูกค้าของ Singapore Airlines ได้รับผลกระทบไปด้วย

SITA ยังกล่าวอีกว่าการบุกรุกเซิร์ฟเวอร์ของ SITA PSS อยู่ในระหว่างการสืบสวนข้อมูล ซึ่งยังไม่มีข้อมูลยืนยันว่าสายการบินต้นทางที่ถูกแฮกเป็นสายการบินใดและข้อมูลของลูกค้าสายการบินนั้น ๆ จะรั่วไหลมากน้อยเพียงใด แต่สำหรับลูกค้าของกลุ่มสมาชิก Star Alliance ที่ได้รับแจ้งเตือนโดยสายการบินอาจมีข้อมูลที่ระบุว่าชื่อสมาชิก, หมายเลขสมาชิก, ระดับสมาชิก อาจถูกรั่วไหล อย่างไรก็ตามข้อมูลที่กล่าวมานั้นอาจถูกผู้ประสงค์ร้ายใช้ประโยชน์โดยการโจมตีแบบฟิชชิง

ทั้งนี้การสืบสวนข้อมูลในขณะนี้ยังไม่มีข้อบ่งชี้ว่ารหัสผ่าน, ข้อมูลการชำระเงิน, หมายเลขหนังสือเดินทาง, การจองหรือข้อมูลติดต่ออื่น ๆ ถูกบุกรุก

ที่มา: bleepingcomputer, securityweek