Estados Unidos advierte de la actividad cibernética rusa dirigida a la aviación

Estados Unidos advierte de la actividad cibernética rusa dirigida a la aviación
Un reciente Departamento de Seguridad Nacional (DHS) y el FBI Alerta Técnica advierten sobre ciberdelincuentes maliciosos que atacan a la aviación y otras industrias críticas en los EE. UU. Las actividades rusas en redes cautivas se centran en recopilar información, no interrumpir operaciones o destruir equipos. El informe no incluyó detalles sobre la información dirigida dentro de las compañías de aviación, pero los datos específicos probablemente incluyeron las operaciones internas de las aeronaves y la conectividad de las redes de aviación (sistemas ABS , API, software, life traffic, etc)

Los hackers rusos comenzaron identificando objetivos y estableciendo un plan de ataque para cada tipo de objetivo. Luego utilizaron correos electrónicos de “spear phishing”, que atraen objetivos para revelar información de inicio de sesión y “dominios de abrevaderos” -con frecuencia sitios web de noticias o publicaciones comerciales que pueden verse comprometidos a descargar malware o robar información de inicio de sesión- para comprometer organizaciones más pequeñas con menos defensas de seguridad cibernética , mencionado en el informe como “objetivos de etapas”.

Es probable que los  MRO  y los aeropuertos sean objetivos frecuentes de la aviación debido a su amplia conectividad con otras empresas y sus defensas de menor ciberseguridad. Los rusos probablemente utilizaron estas empresas para comprometer a las aerolíneas, las empresas de ingeniería y los sistemas de gestión del tráfico aéreo, según el informe.

canaryskies
Detalle de un “radarbox24” que, aunque con 5 minutos de retardo envía la información y es una de las redes saqueadas. Sólamente en Tenerife, se calcula que hay una población de unos 9.000 rusos o ciudadanos de la vieja URSS.

Después de establecer un punto de apoyo en las redes de objetivos de puesta en escena, los rusos utilizaron cuentas de correo electrónico comprometidas, archivos compartidos y redes privadas virtuales V P N en los objetivos de puesta en escena para establecer contacto con los objetivos finales previstos.

Una vez dentro de esos objetivos, los rusos buscaron contraseñas de administrador que les permitieran acceder completamente a la red de víctimas. También descargarían archivos usando el Bloque de Mensaje de Servidor (SMB) de Microsoft y usarían estos archivos para establecer comunicación con un servidor de comando y control fuera de la red de la víctima. Luego exfiltraron información específica a través de estas vías.

Es probable que los MRO y los aeropuertos sean objetivos frecuentes de la aviación debido a su amplia conectividad con otras empresas y sus defensas de menor ciberseguridad. Los rusos probablemente utilizaron estas empresas para comprometer a las aerolíneas, las empresas de ingeniería y los sistemas de gestión del tráfico aéreo.

Las compañías de aviación en general probablemente sirvieron como objetivos de puesta en escena útiles para comprometer organizaciones en otras industrias. La aviación afecta a la mayoría de las otras industrias, y es poco probable que otras empresas e industrias señalen como sospechosa la actividad de la red de las compañías de aviación.

Después de que los hackers rusos obtuvieron acceso a un objetivo, eliminaron la evidencia de su intrusión para evitar la detección. El FBI y el DHS, por lo tanto, alientan a los administradores de red en todas las industrias críticas a revisar la alerta técnica e ingerir archivos .csv y .stix proporcionados en sus sistemas de monitoreo de red.

 

alojamiento para wordpress

, , , , , , , ,