Cuộc tấn công mạng nhằm vào Air India được đưa ra hồi tháng trước kéo dài trong khoảng thời gian ít nhất hai tháng 26 ngày, một nghiên cứu mới đã tiết lộ, trong đó cho rằng vụ việc với sự tin tưởng vừa phải đối với một kẻ đe dọa quốc gia Trung Quốc có tên là APT41.
Group-IB đặt tên cho chiến dịch là “ColunmTK” dựa trên tên của các miền máy chủ chỉ huy và kiểm soát (C2) được sử dụng cho liên lạc. Công ty săn tìm mối đe dọa có trụ sở tại Singapore cho biết: “Khả năng ảnh hưởng của sự cố này đối với toàn bộ ngành hàng không và các hãng vận chuyển có thể phát hiện ra dấu vết của ColunmTK trong mạng của họ là rất lớn” nói.
Còn được biết đến với các biệt danh khác như Winnti Umbrella, Axiom và Barium, APT41 là một mối đe dọa dai dẳng kéo dài từ quốc gia nói tiếng Trung Quốc được biết đến với các chiến dịch xoay quanh đánh cắp thông tin và gián điệp chống lại các lĩnh vực chăm sóc sức khỏe, công nghệ cao và viễn thông để thiết lập và duy trì quyền truy cập chiến lược nhằm đánh cắp tài sản trí tuệ và phạm tội phạm mạng có động cơ tài chính.
“Các cuộc xâm nhập của tội phạm mạng của họ rõ ràng nhất trong số các mục tiêu nhắm mục tiêu vào ngành công nghiệp trò chơi điện tử, bao gồm cả việc thao túng tiền ảo và cố gắng triển khai ransomware,” theo sang FireEye. “Các hoạt động của APT41 chống lại giáo dục đại học, dịch vụ du lịch và các hãng tin tức / truyền thông cung cấp một số dấu hiệu cho thấy nhóm này cũng theo dõi các cá nhân và tiến hành giám sát.”
Vào ngày 21 tháng 5, hãng hàng không hàng đầu của Ấn Độ, Air India, tiết lộ một vụ vi phạm dữ liệu ảnh hưởng đến 4,5 triệu khách hàng của họ trong khoảng thời gian kéo dài gần 10 năm sau cuộc tấn công chuỗi cung ứng nhắm vào nhà cung cấp Hệ thống Dịch vụ Hành khách (PSS) SITA đầu tháng hai này.
Vi phạm liên quan đến dữ liệu cá nhân được đăng ký từ ngày 26 tháng 8 năm 2011 đến ngày 3 tháng 2 năm 2021, bao gồm các chi tiết như tên, ngày sinh, thông tin liên hệ, thông tin hộ chiếu, thông tin vé, Star Alliance và dữ liệu khách hàng thường xuyên của Air India, như cũng như dữ liệu thẻ tín dụng.
Phân tích của Group-IB về vụ việc đã tiết lộ rằng ít nhất kể từ ngày 23 tháng 2, một thiết bị bị nhiễm bên trong mạng của Air India (có tên “SITASERVER4”) đã giao tiếp với một máy chủ lưu trữ các tải trọng Cobalt Strike từ trước đến ngày 11 tháng 12 năm 2020. Sau thỏa hiệp ban đầu này, những kẻ tấn công được cho là đã thiết lập tính bền bỉ và lấy được mật khẩu để chuyển hướng sang mạng rộng hơn với mục tiêu thu thập thông tin bên trong mạng cục bộ.
Công ty cho biết không ít hơn 20 thiết bị đã bị nhiễm virus trong quá trình di chuyển bên. Nhà phân tích Nikita Rostovcev của Group-IB Threat Intelligence cho biết: “Những kẻ tấn công đã lấy cắp mã băm NTLM và mật khẩu văn bản thuần túy từ các máy trạm cục bộ bằng cách sử dụng hashdump và mimikatz”. “Những kẻ tấn công đã cố gắng nâng cao các đặc quyền cục bộ với sự trợ giúp của phần mềm độc hại BadPotato.”
Tổng cộng, kẻ thù đã trích xuất 23,33 MB dữ liệu từ năm thiết bị có tên SITASERVER4, AILCCUALHSV001, AILDELCCPOSCE01, AILDELCCPDB01 và WEBSERVER3, với những kẻ tấn công mất 24 giờ và 5 phút để phát tán các báo hiệu Cobalt Strike đến các thiết bị khác trong mạng của hãng hàng không.
Mặc dù điểm vào ban đầu vẫn chưa được xác định, nhưng thực tế là “thiết bị đầu tiên bắt đầu giao tiếp với máy chủ C&C do đối thủ kiểm soát là máy chủ SITA và việc SITA đã thông báo cho Air India về sự cố bảo mật của nó là cơ sở hợp lý để tin rằng sự thỏa hiệp của Mạng lưới của Air India là kết quả của một cuộc tấn công chuỗi cung ứng tinh vi, có thể bắt đầu với SITA. “
Các kết nối với Barium được thiết lập dựa trên sự chồng chéo giữa các máy chủ C2 được tìm thấy trong cơ sở hạ tầng tấn công với các máy chủ được sử dụng trong sớm hơn các cuộc tấn công và các chiến thuật mà kẻ đe dọa sử dụng để đậu tên miền của họ khi hoạt động của họ kết thúc. Group-IB cũng cho biết họ đã phát hiện ra một tệp có tên “Install.bat“có những điểm tương đồng với tải trọng được triển khai vào năm 2020 chiến dịch xâm nhập toàn cầu.
Có thể truy cập các chỉ số thỏa hiệp (IoC) liên quan đến sự cố đây.
