Новый отчет компании Microsoft демонстрирует растущую опасность нападений хакерских группировок, как имеющих поддержку различных государств, так и самостоятельных, на авиаиндустрию. В четверг, 17 июля, стали известны детали исследования киберугроз авиакомпаниям и аэропортам.
Согласно выводам экспертов Microsoft, хакеры из группы Octo Tempest, также известной как Scattered Spider, которые ранее атаковали крупные торговые сети, отели и крупные предприятия, переключили внимание на целенаправленный взлом систем гражданской авиации. Центральное место в отчете занимает деятельность хакерской группы Octo Tempest. Эта одна из самых изощренных и агрессивных хакерских команд.
Аналитики Microsoft, включая специалистов из исследовательского центра в Израиле, отслеживают нападения группы, которая уже хорошо известна правоохранительным органам США, в конце июня ФБР даже выпустило официальное предупреждение для пользователей.
Бреши в системах безопасности и уязвимости определяются и используются с помощью методов социальной инженерии, взлома учетных записей пользователей в облачных и локальных системах и последующее внедрение программ-шифровальщиков с целью шантажа.
Обычно злоумышленники представляются сотрудниками или подрядчиками, обращаются в службу поддержки, пытаясь обойти двухфакторную аутентификацию. Как только устройство без авторизации добавляется к учетной записи, они получают удаленный доступ к корпоративной сети. После этого кража данных или запуск шпионского ПО - лишь вопрос времени.
Ключевым инструментом против Octo Tempest в отчете называется платформа Microsoft Defender. Она предлагает многоуровневую защиту - от конечных устройств до облачных хранилищ. Она умеет в автоматическом режиме обнаруживать враждебную активность и пытается нейтрализовать ее.
Так, например, в случае обнаружения вторжения Octo Tempest, система может автоматически отключить учетную запись пользователя, которой злоумышленники воспользовались, и завершить все связанные с ней действия, даже если атака еще продолжается.
Вместе с тем в Microsoft подчеркивают, что даже при успешной блокировке атаки в реальном времени, полная ответственность лежит на службе безопасности организации, которая должна завершить работу - провести расследование, дать ответы и устранить уязвимости, чтобы убедиться, что угроза полностью нейтрализована.