FBI (Federal Bureau of Investigation)는 특히 항공 산업을 대상으로하는 사이버 공격의 에스컬레이션에 관한 중요한 공개 자문을 발표했습니다. 이전에 소매 및 보험 부문에 대한 폭행으로 인정받은 Scattered Spider로 알려진 악명 높은 해킹 집단은 이제 악의적 인 범위를 넓히고 글로벌 항공 여행 인프라에 중대한 위협을 가하고 있습니다. 이 기관의 경고는 그룹의 정교한 사회 공학 전술에 대한 의존도가 증가하여 IT 헬프 데스크 직원을 조작하여 민감한 내부 시스템에 대한 무단 액세스를 얻습니다.
FBI에 따르면, Scattered Spider의 Modus Operandi는 종종 MFA (Multi-Factor Authentication) 보호를 우회하도록 설득하는 헬프 데스크 직원이 종종 포함됩니다. 이것은 종종 불량 MFA 장치를 손상된 계정에 등록하도록 설득함으로써 달성됩니다. 네트워크에 들어가면이 공격자들은 현저한 속도와 효율성으로 운영되며 데이터 도난, 랜섬 지불 요구 및 일부 심각한 경우 조직의 운영 기능을 무너 뜨리기 위해 랜섬웨어를 배포하는 경우가 있습니다. 초기 접근에서 본격적인 중단으로의 이러한 빠른 진행은 FBI의 경고의 긴급 성을 강조합니다.
사이버 보안 전문가들은이 그룹의 효과가 복잡한 기업 시스템 내에서 인간 행동에 대한 깊은 이해에서 비롯된다는 것을 동의합니다. Google의 위협 인텔리전스 그룹의 최고 분석가 인 John Hultquist는 열광한“이 그룹은 우리의 중요한 인프라에 대한 심각한 공격을 수행하고 있습니다. 그들은 우리의 보안 시스템에서 성공적으로 활용하는 주요 격차를 확인했습니다.” 이 진술은 Scathered Spider : IT 보안 프레임 워크 내의 인적 요소에 의해 악용 된 중요한 취약점을 강조합니다.
FBI의 경고는 여러 저명한 항공사가보고 한 최근 사이버 사건을 배경으로합니다. 최근 몇 주 동안 Westjet과 Hawaiian Airlines는 공개적으로 위반 경험을 인정했습니다. 또한 호주 항공 모함 Qantas는 사이버 공격을 확인했지만 사건을 흩어진 거미와 즉시 연결하지는 못했습니다. Palo Alto Networks의 Unit 42의 Sam Rubin은 알람을 높이기 위해 LinkedIn을 방문하여 항공 회사에 잠재적 가짜 MFA 재설정 요청 및 정교한 가장 한 최저 시도와 관련하여“높은 경보”상태를 유지하도록 시급히 조언했습니다. 이 우려, Google의 Mandiant가보고 한 바와 같이 로이터그것은 스파이더의 독특한 접근 방식과 눈에 띄는 유사성을 가진“항공사 및 운송 수직에서 여러 건의 사건”을 관찰했다고 밝혔다. Mandiant의 최고 기술 책임자 인 Charles Carmakal은“업계는 즉시 헬프 데스크 신원 확인 프로세스를 강화하기위한 조치를 취할 것을 권장합니다.”
애매하고 유동적 인 집단 인 산란 된 거미는 UNC3944, Muddled Libra 및 Octo Tempest를 포함한 다양한 별칭으로 알려져 있습니다. 이 그룹은 연속파에서 여러 부문을 공격 한 기록 된 기록을 가지고 있습니다. 항공사를 타겟팅하기 전에 통신 공급자, 금융 서비스 기관 및 소매 업체에 성공적으로 침투하여 유사한 기술을 지속적으로 사용하여 무단 액세스를 얻고 민감한 데이터를 퇴치하며 실질적인 랜섬을 요구합니다. ReliaQuest의 최근 보고서는 이름이없는 회사의 최고 재무 책임자와 관련된 위반에 대한 자세한 설명을 제공했습니다. 이 사건에서 공격자들은 CFO의 개인 정보를 세 심하게 수집 한 후 IT 헬프 데스크가 자격 증명과 MFA 장치를 재설정하도록 성공적으로 설득했습니다. 전체 액세스를 통해 해커는 SharePoint, Horizon Virtual Desktop 및 VMware를 포함한 임계 시스템에 침투하여 민감한 데이터를 훔쳤으며, 손상된 방화벽조차도 탐지 후 필사적 인 “stupched-earth”시도에서 더욱 그렇습니다.
흩어져있는 거미는 “The Com”으로 알려진 더 넓은 지하 공동체의 필수 부분으로 여겨지며, 여기에는 Lapsus $와 같은 다른 악명 높은 그룹도 포함됩니다. 이 단체는 주로 영어를 사용하는 십대와 청년들로 구성되어 있으며, Discord 및 Telegram과 같은 플랫폼에서 종종이 채널을 사용하여 전술을 공유하고 동료들과“승리”를 축하합니다. Palo Alto Networks의 위협 인텔리전스 팀은 다음과 같이 지적했다. 이 느슨한 조직 구조는 그룹이 특히 해체하기가 어려워지고, 빠른 학습 곡선은 협업 특성과 결합 된 빠른 학습 곡선이 중요한 인프라에 대한 위험을 증폭시킵니다.
전문가들은 산란 된 거미에 대한 효과적인 방어가 특히 중요한 헬프 데스크 수준에서 신원 확인 절차의 상당한 강화를 필요로한다는 것에 일관되게 동의합니다. Google Cloud의 Mandiant 팀은 특별히 몇 가지 주요 작업을 권장합니다. MFA 장치 또는 자격 증명에 대한 변경을 승인하기 전에 신분을 철저히 확인합니다. IT 팀에 종합적인 교육을 제공하여 실제 사회 공학 전술을 인식 할 수 있습니다. 측면 이동을 제한하기 위해 조직의 인프라 전체에 대한 신원 분리; 모든 시스템에서 강력한 인증 기준을 강화합니다. 자신이 목표로 한 것으로 의심되는 조직은 신속하게 사건을 신고 할 것을 강력히 촉구합니다. FBI는 “조기보고를 통해 FBI가 신속하게 참여하고 업계 전반에 걸쳐 정보를 공유하며 추가 타협을 방지 할 수있게 해줍니다.”
