Un nuevo informe de NCC Group y su subsidiaria Fox-IT detalla una campaña de reconocimiento, donde el actor de amenazas está violando los servidores de las aerolíneas para robar los datos de los pasajeros. Según los informes, el grupo de amenazas fue respaldado por el estado chino y se llama Quimera. Robar los datos les ayudaría a rastrear a la persona de interés.
Hackers chinos roban datos de pasajeros de aerolíneas
Un informe conjunto de Grupo CNC y su subsidiaria Fox-IT los detalles publicados la semana pasada detallan una campaña de reconocimiento de tres años por parte de un grupo de piratería respaldado por el estado chino. Promocionado como Quimeraes reportado por primera vez en 2020 atacar a las empresas de semiconductores.
Si bien esto parece comprensible, ya que piratear empresas de semiconductores para robar propiedad intelectual, atacar a las aerolíneas para el reconocimiento también tiene un propósito. Si bien el informe no menciona las intenciones de Chimera, se observa que obtener detalles de los pasajeros puede ayudar a los actores de amenazas a rastrear a las personas de interés.
Los investigadores dijeron que el grupo ha estado atacando a las aerolíneas no solo en Asia, sino también en otras naciones. Además, se especula que el grupo ha estado en este negocio durante al menos tres años antes de ser descubierto inicialmente. El grupo obtendría acceso a una red de aerolíneas al comprender cualquiera de las credenciales de los empleados.
Para esto, buscarían posibles credenciales de esa persona de filtraciones de datos previamente filtradas. Recolectando los relevantes y usando técnicas como pulverización de contraseña puede ayudar a obtener los correctos. Después de obtener acceso a la red de la aerolínea, buscará un lugar donde obtendrá la datos PNR.
Se trata principalmente de los servidores, ya que los datos que se almacenan en la memoria se pueden filtrar fácilmente. Los piratas luego filtrarían los datos del PNR y subirlos a servicios en la nube en línea como Dropbox o Google Drive, ya que los datos transmitidos entre ellos y los servidores no se controlan por ser aplicaciones legítimas.
Los piratas informáticos podrían extraer esto para rastrear los objetivos, lo que podría ser de interés. Ataques similares han ocurrido anteriormente contra musulmanes uigures, dirigidos y rastreados por piratas informáticos chinos.
