Нова хакерска група проналази жртве међу мултинационалним компанијама

Овогодишњи сајбер-напади на авио и војну индустрију увек су се приписивали кинеским хакерским групама APT10 и JSSD. Међутим, изгледа да је прави кривац једна организација за коју нико до сад није чуо. Док се веровало да је кинеска хакерска група APT10 главни кривац за нападе на европске мултинационалне компаније у области ваздухопловства и војне индустрије ове године, изгледа да све претње потичу од претходно потпуно непознате хакерске групе, извештај је безбедносне организације. Компанија „Контекст“ (Context), која се бави сајбер-безбедношћу и саветовањем у том домену, идентификовала је нову организацију и назвала је Avivore. Иначе, организација се до сад из све снаге трудила да прикрије трагове своје активности. „Контекст“, међутим, сматра да је организација врло активна још од 2015. године, мада је већина напада откривена у последњих дванаест месеци.

Верује се да је Авиворе главни организатор некадашњих претњи и напада на европску ваздухопловну компанију Airbus, што је претходно било приписано добро познатој кинеској хакерској групи APT10 као и групи JSSD. Компанија Аирбус је ове године претрпела четири напада, међу којима се последњи одиграо прошлог месеца. Новинска агенција „Франс прес“ изјавила је да су нападачи упали у глобалну мрежу снабдевања компаније Аирбус преко британског произвођача мотора „Ролс ројс“, који компанију снабдева моторима за авионе, као и преко француске технолошке консултантске фирме Expleo и још преко две фирме које раде за ваздухопловну компанију под уговором.

Такав напад је карактеристичан за организацију Avivore. Наиме, група користи такозвану исланд хоппинг технику, која се састоји у томе што велику корпорацију не напада директно, већ преко мреже слабијих и мање заштићених партнерских фирми или, како би се то још рекло, хоризонталним, пре него вертикалним, традиционалним нападом. То значи да, уместо да напада партнере као што су добављачи услуга управљања ИТ системом компаније, који се лако могу заменити у ланцу снабдевања, група се обрушава на добављаче који су интегрисани у вредносни систем нападнуте компаније. Напади групе су углавном усмерени на једине добављаче који снабдевају компанију одређеним производом, тако да их није једноставно изместити из ланца снабдевања и заменити их неком другом фирмом.

Група Авиворе је врло вешт и лукав нападач. Прерушава се у легитимног корисника да би упала у мрежу добављача, посебно преко виртуелних приватних мрежа или неких других својстава. То јој омогућава да се провуче поред безбедносних одбрана веће компаније која јој представља главну мету, а пре тога пажљиво сакрије сваку своју активност.
Стручњаци су успели да открију активност групе не преко инцидената, већ преко аномалија. Наиме, то се десило кад су приметили да неки од запослених имају приступ одређеним изворима који не би требало да им буду доступни. Претпоставља се да новооткривену организацију првенствено занима интелектуална својина нападнутих компанија, а поред ваздухопловне и војне индустрије, гране за које је заинтересована је и аутомобилска индустрија, енергетика, нуклеарна, свемирска и сателитска област производње.

Поред тога, откривено је да се хакери налазе у временској зони UTC+8, дакле Гринич+8, односно Кина, дакле, сасвим је било нормално да се посумња на APT10 или JSSD. Међутим, „Контекст“ је открила да се у нападима користи другачија инфраструктура и другачија тактика. Свакако да постоји склоност према сличним гранама индустрије и технологијама које се нападају и сасвим је нормално претпоставити да су групе прилично слично мотивисане, али не може се тврдити са сигурношћу ко је умешан у нападе.

У сваком случају, изгледа да се индустрија суочава са нападачима који су моћнији из дана у дан. Лекцију коју би велике корпорације могле да науче из недавних сајбер-напада је да би било врло корисно још једном проверити безбедносне стандарде, нарочито у ланцу снабдевања.

Рачунарски факултет Рачунарски факултет 011-33-48-079