Кибербезопасность в авиационной индустрии становится всё более уязвимой из-за целенаправленных атак группы Scattered Spider, которая отличается продвинутыми социально-инженерными методами проникновения. Согласно данным U.S. Federal Bureau of Investigation (ФБР), данная хакерская группа расширяет свою активность, сейчас ориентируясь на авиакомпании и связанные с ними отрасли. Эта тенденция тревожит экспертов и специалистов по информационной безопасности, поскольку атакующие используют не только технические ухищрения, но и человеческий фактор, что значительно повышает уровень угрозы.
Один из ключевых приемов группы – выдача себя за сотрудников или подрядчиков компаний через звонки в службы поддержки IT и последующее обманное выполнение запросов, которые позволяют обходить многофакторную аутентификацию (MFA). Многократно подтверждённый факт заключается в том, что злоумышленники умело убеждают специалистов служб поддержки добавить неавторизованные устройства для MFA в уже скомпрометированные учетные записи. Такие социально-инженерные атаки поражают именно те звенья в кибербезопасности, где человеческий фактор остаётся самой слабой линией обороны. Помимо прямого взлома авиакомпаний, Scattered Spider целенаправленно атакует третьих лиц — IT-поставщиков и подрядчиков, чьи учетные данные и доступы к масштабным организациям могут впоследствии использоваться для проникновения. Такой подход позволяет атакующим охватить значительный спектр целей при минимальных технических усилиях.
Эксперты таких компаний как Palo Alto Networks Unit 42 и Google-owned Mandiant подтвердили активность Scattered Spider в авиационной сфере и сопутствующих транспортных вертикалях. Они акцентируют внимание на необходимости усиления контроля и процедур при работе со службами поддержки — особенно в части управления сбросом паролей, обновлением MFA, а также предоставлением любой информации, которая может использоваться для последующих атак социальной инженерии. Одним из ярких примеров успешной атаки стала компрометация аккаунта финансового директора (CFO) в одной из компаний. После тщательной разведки, включающей сбор личных данных целью которых были такие сведения, как дата рождения и последние четыре цифры социального страхования, злоумышленники позвонили в IT-поддержку, представившись доверенными лицами. Это позволило им выполнить сброс MFA и перехватить учетные данные, что открыло путь к глубинному проникновению в архитектуру компании.
Достигнув доступа, Scattered Spider использовала широкий спектр техник для эскалации прав, изучения и кражи важных данных, а также установления постоянного присутствия в инфраструктуре, включая облачные сервисы и виртуальные платформы. Группа демонстрирует способность быстро переходить от незаметного проникновения к разрушительным действиям, часто применяя тактику «выжженной земли», когда обнаружение их присутствия приводит к намеренной дестабилизации критических сервисов и удалению важных политик безопасности. Такая стратегия затрудняет повторное восстановление рабочих процессов и наносит значительный ущерб бизнесу и репутации компаний. В основе успеха Scattered Spider лежит глубокое понимание человеческих процессов и рабочих сценариев внутри организаций. Это позволило хакерам создать эффективные и детализированные планы социально-инженерных атак, которые обходят даже современные технические защиты.
При этом уязвимость не в системах, а в доверии, которое люди оказывают своим коллегам и службам поддержки. В условиях высокого рабочего давления и дефицита времени, даже сознательные специалисты могут стать жертвами хорошо подготовленного обмана. Тем не менее, угрозы, исходящие от Scattered Spider, не ограничиваются исключительно социальной инженерией. Наряду с ней группа задействует сложные методы технического взлома, включая атаки на инфраструктуру VMware, эксплуатацию багов в облачных сервисах и использование легитимных утилит для обхода систем безопасности и соблюдения течения атаки. Сопутствующие группы с похожими тактиками, такие как Octo Tempest и Muddled Libra, также выявлены как часть более широкой сети, известной как Com или Comm, в которую входят разные хакерские коллективы, в том числе и печально известный LAPSUS$.
Союзники в исследовании угроз подчеркивают децентрализованную и гибкую структуру этой сети, что существенно осложняет противодействие и позволяет быстро перемещаться между разными целями и отраслями. Основные рекомендации, озвученные специалистами компаний Mandiant и Palo Alto Networks, сводятся к пересмотру внутренних процедур и протоколов, особенно тех, что связаны с верификацией пользователя через службу поддержки. Важно не просто полагаться на традиционные методы, но и внедрять более строгие механизмы контроля, отказоустойчивые системы уведомлений и обучение сотрудников реальным сценариям мошенничества. Уроки, извлечённые из последних инцидентов, показывают, что реализация сильной многофакторной аутентификации без адекватного процесса подтверждения личности по факту систем поддержки остаётся неэффективной. Повышение осведомленности, регулярные тренировки по распознаванию социальных инженеров и детальный анализ всех запросов на обновление учетных данных — краеугольные камни защиты в условиях нынешних угроз.
Кроме того, крупные технологические компании, включая Microsoft, работают над выявлением новых векторов атак и выпуском соответствующих обновлений. Последние отчёты Microsoft подтверждают скоординированную деятельность группы на протяжении нескольких месяцев, в частности в отношении виртуализированных сред и взаимодействия с инфраструктурами VMware ESX, что усиливает необходимость комплексного подхода к безопасности на стыке on-premises и облачных систем. Таким образом, атаки Scattered Spider на авиакомпании демонстрируют глобальную тенденцию: киберпреступники всё активнее комбинируют социальные навыки с технологическими уязвимостями для нанесения максимального ущерба. В условиях растущей цифровизации и гибридных инфраструктур важна проактивная позиция бизнеса — постоянный аудит процессов, инвестирование в обучение сотрудников, внедрение современных технических средств и постоянное тестирование систем защиты. Игнорирование социальных факторов в кибербезопасности может привести к тому, что даже самые продвинутые технические решения будут обходиться злоумышленниками с легкостью.
В итоге, успешная защита авиакомпаний и связанных отраслей зависит от слаженной и всесторонней стратегии, объединяющей технологии, людские ресурсы и процессы. Только такой комплексный подход позволит противостоять таким продвинутым и адаптивным угрозам, как Scattered Spider, и минимизировать риски потери данных, сбоев в работе и финансовых убытков.
