中国のハッキンググループが航空会社の乗客の詳細を盗んでいる〜すべてがNになる〜

　ZDNetのプッシュ通知があったのでいつものように訳しました。世界ではいろんな情報が盗まれているようです。詳しいことはわかりませんが主には監視の意味合いが強く国家的に行われているようです。

A Chinese hacking group is stealing airline passenger details | ZDNet

　中国のハッカーは、高額なターゲットの動きを追跡するために、世界中の航空会社から乗客の詳細を収集しています。

　今回の侵入は、サイバーセキュリティが「キメラ」という名前で追跡していた脅威のアクターと関連している。

また。ベストVPN - ベストセキュリティキー - ベストアンチウイルス

中国国家の利益のために活動していると信じられていた同グループの活動は、2020年のCyCraftのレポート[PDF]とBlack Hatのプレゼンテーション[PDF]で初めて説明されました。

　最初の報告書は、台湾の超電導産業に対する一連の協調的な攻撃に言及した。

　しかし、NCCグループとその子会社であるFox-ITが先週発表した新しい報告書によると、両社は、同グループの侵入は当初考えられていたよりも広範囲に及び、航空業界も標的にしていると述べている。

　"NCCグループとFox-ITは、2019年10月から2020年4月までの間に実施された様々なインシデント対応のエンゲージメントにおいて、この脅威行為者を観察しました。"と両社は述べています。

　これらの攻撃は、アジアだけではなく、異なる地理的地域にある半導体企業や航空会社を標的にしたものであると、NCCとFox-ITは述べています。

一部の犠牲者の場合、ハッカーは発見されるまでに最大3年間、ネットワーク内に隠れていました。

　ハッカーはフライト予約サーバーのRAMからユーザーデータを掻き出した

　半導体産業に対する攻撃は知的財産（IP）の窃盗を目的としたものであったが、航空産業に対する攻撃は別のものに焦点を当てたものであった。

　"一部の被害者を標的にした目的は、乗客名記録（PNR）を取得することにあるようだ "と2社は述べている。

　"PNR（乗客記録）データの取得方法は被害者によって異なりますが、フライト予約サーバーなどのシステムのメモリからPNR（乗客記録）データを継続的に取得するために使用されるいくつかのカスタムDLLファイルの使用が観察されました。"

　キメラの典型的な攻撃

　NCCとFox-ITの共同報告書はまた、キメラグループの典型的な手口についても説明しています。この手口は、通常、他社のデータ侵害の後、パブリックドメインに流出したユーザーのログイン認証情報を収集することから始まります。

　このデータは、電子メールアカウントなどのターゲットの従業員サービスに対するクレデンシャル・スタッフィングやパスワード・スプレー攻撃に使用されます。一度侵入すると、Chimeraのオペレータは、CitrixシステムやVPNアプライアンスなどの企業システムのログイン詳細を検索します。

　内部ネットワークに侵入すると、侵入者は通常、「敵対者エミュレーション」に使用される侵入テスト用のフレームワークである「コバルト・ストライク」を展開し、可能な限り多くのシステムに横方向に移動して、IP（知的財産）や乗客の詳細を検索します。

　2つのセキュリティ会社は、ハッカーは忍耐強く徹底的に、セグメント化されたネットワークを横断して目的のシステムに到達する方法を見つけるまで捜索すると述べています。

　一旦データを見つけて収集すると、これらの情報はOneDrive、Dropbox、Google Driveなどのパブリッククラウドサービスに定期的にアップロードされ、これらのサービスへのトラフィックが侵害されたネットワーク内で検査されたりブロックされたりしないことを知っていました。

　興味のあるターゲットを追跡する

　NCCとFox-ITのレポートは、ハッカーがなぜ航空業界を標的にしたのか、なぜ乗客のデータを盗んだのかを推測していませんでしたが、これはかなり明白です。

　実際、国が支援するハッキンググループが航空会社、ホテルチェーン、通信事業者を標的にして、利害関係者の動きや通信を追跡するためのデータを取得することは非常によくあることです。

　過去の例としては、中国のグループAPT41があり、SMSメッセージを盗むことができる特殊なマルウェアで通信事業者を標的にしていました。この攻撃は、少数民族であるウイグル族を追跡する中国の取り組みに関連していると考えられており、この取り組みの中には、ウイグル族の旅行者の動きを追跡するために通信事業者をハッキングすることも含まれていました。

　通信事業者を標的にしたもう一つの中国のグループはAPT10（またはガリウム）で、その活動はCybereasonの「Operation Soft Cell」レポートに詳細に記載されています。

　さらに、中国国営のハッカーもマリオットのハッキングにリンクされており、その間に何年も前からホテルの予約情報を盗み出していました。

　しかし、この種の攻撃に従事しているのは中国だけではありません。

　イランのグループAPT39は、イランの反体制派を追跡する目的で、通信事業者や旅行会社への侵入にもつながっており、グリーンバグとして知られる別のイランのグループは、東南アジア全域の複数の通信事業者へのハッキングにつながっている。

　そして2010年から2013年にかけてベルギーのベルガコムを標的にした英国GCHQの作戦「Operation Specialist」があります。

SECURITY

トランプ氏、アメリカのクラウドプロバイダーは外国人顧客の記録を維持する必要があると規定

サイバーセキュリティ101：ハッカー、スパイ、政府からプライバシーを守る

2021年のベストウイルス対策ソフトとアプリ。PC、スマートフォン、タブレットを安全に保つ

ビジネスにも家庭にも最適なVPN

二要素認証に最適なセキュリティキー

2021年にランサムウェアがさらに破壊的になる可能性がある方法（ZDNet YouTube）

パブリッククラウドのセキュリティを向上させる方法（TechRepublic）