Недавние атаки на Airbus могут быть делом рук ранее неизвестной группировки Avivore

Недавние атаки на Airbus могут быть делом рук ранее неизвестной группировки Avivore

Киберпреступники нацелились на небольшие компании-подрядчики и через их сети пытались проникнуть в системы Airbus.

image

Исследователи из фирмы Context Information Security выявили новую киберпреступную группировку, получившую название Avivore, которая за последние несколько месяцев, предположительно, осуществила несколько крупных кибератак на компанию Airbus. Злоумышленники пытались атаковать Airbus через сети французской консалтинговой компании Expleo, британского производителя двигателей Rolls Royce и двух неназванных поставщиков Airbus.

Киберпреступники нацелены на крупные многонациональные и небольшие инженерные и консультационные фирмы в цепочках поставок. В рамках атак Island hopping (атаки на цепочки поставок) для проникновения в компьютерные сети злоумышленники используют связь между жертвой и ее партнерами, например, виртуальные частные сети (VPN).

«Предыдущие сообщения о недавних инцидентах, касающихся авиакосмической и оборонной промышленности, связывали их с APT10 и Министерством государственной безопасности провинции Цзянсу [Китай — прим. ред.]. Хотя характер деятельности преступников усложняет атрибуцию, анализ кампании указывает на новую группу, которую мы назвали Avivore», — сообщил главный аналитик фирмы Оливер Фэй (Oliver Fay).

По словам исследователей, группировка использует троян для удаленного доступа (RAT) PlugX, который часто применялся APT10. Тем не менее, тактики, техники и процедуры группировки, а также инфраструктура и другие инструменты существенно отличаются от китайских киберпреступников. Данный факт позволил специалистам сделать вывод, что Avivore является ранее неизвестной группировкой, спонсируемой правительством.

Преступники являются «весьма способными», так как умело используют технику под названием living-off-the-land (использование локальных приложений во вредоносных целях) и маскируют свою деятельность в повседневной деловой активности сотрудников целевых компаний. Они также соблюдают операционную безопасность и удаляют все следы во избежание обнаружения.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle