קוואנטס נפרצה בסייבר – ככל הנראה על ידי קבוצת "עכביש מפוזר"

חברת התעופה האוסטרלית קוואנטס נפרצה השבוע בסייבר. הפריצה באה ברקע התרעות של הממשל הפדרלי בארצות הברית, שלפיהן מגזר התעופה מצוי תחת איום מוגבר בסייבר.

קוואנטס אישרה את המתקפה והודיעה כי מידע אישי של עד שישה מיליון לקוחות "עלול היה להיגנב" במתקפת הסייבר. ההאקרים התמקדו במתקפתם במוקד שירות הלקוחות הטלפוני של החברה, ומשם השיגו גישה למערכת צד שלישי שבה מאוחסנים פריטי מידע על לקוחות.

החברה דיווחה כי זיהתה את "הפעילות החריגה" ביום ב' השבוע והשביתה את המערכות הנגועות, אך היא מאמינה ש-"ייתכן שכמות משמעותית מהמידע האישי של הלקוחות נלקחה".

לפי קוואנטס, הנתונים שנלקחו כוללים: שמות, כתובות מייל, מספרי טלפון, תאריכי לידה ומספרי הנוסע המתמיד. חברת התעופה מסרה שהפריצה לא כללה פרטי כרטיס אשראי, מידע פיננסי אישי או פרטי דרכון, מכיוון שמידע זה לא הוחזק במערכת. היא הוסיפה כי לא הייתה גישה לסיסמאות וכי לא נפגעו חשבונות הנוסע המתמיד (על אף שכאמור, נקצרו גם פרטים אלה).

קוואנטס הודיעה ללקוחות שנפגעו מהפריצה כי בשלב זה אין דרישה לאפס את הסיסמה או הקוד הסודי שלהם.

קוואנטס: "נספק ללקוחות את התמיכה הדרושה"

טוני ברק, שר הפנים האוסטרלי, האחראי על אבטחת סייבר, אמר כי "המציאות היא שעם הרשתות האלה, הם (התוקפים – י"ה) ילכו למקומות שבהם הם יכולים למצוא פגיעות. כאשר חברות נסמכות על צדדים שלישיים עבור המערכות שלהן, זה הופך את מחויבויות אבטחת הסייבר שלהן למורכבות יותר".

ונסה הדסון, מנכ"לית קוואנטס, אמרה כי החברה גייסה מומחי אבטחת סייבר עצמאיים לביצוע החקירה של האירוע. "אנחנו מתנצלים בכנות בפני לקוחותינו ומכירים בחוסר הוודאות שזה יגרום", אמרה הדסון. "יצרנו קשר עם הלקוחות שלנו, ונספק להם את התמיכה הדרושה".

עכביש מפוזר – ותוקף

זהות התוקפים לא נמסרה, אולם מומחים העריכו כי למתקפה יש קווי דמיון עם דפוסי הפעולה של קבוצת הכופרה עכביש מפוזר (Scattered Spider). הקבוצה התמקדה במתקפות שאותן היא ערכה בשבועות האחרונים בחברות תעופה בארצות הברית. במתקפות אלה, ההאקרים התקשרו לתמיכת ה-IT של חברות גדולות, לעתים קרובות תוך התחזות לעובדים או לקבלנים. או אז, הם רימו את הנציגים שבמוקדי התמיכה של ה-IT ושכנעו אותם להעניק להם גישה, תוך עקיפת אימות רב גורמי (MFA).

השבוע פרסמנו כי ה-FBI וחברות הגנת סייבר מזהירים שחברי עכביש מפוזר מכוונים בימים אלה מתקפות נגד חברות תעופה וארגונים במגזר התחבורה. לפי הבולשת, היא "צפתה באחרונה במתקפות סייבר, שדפוס פעולתן דומה לזו של עכביש מפוזר, שכוונו לארגונים ממגזר התעופה". גם חוקרים ממנדיאנט, יחידת אבטחת הסייבר של גוגל, ומיחידה 42 – יחידת מחקר האיומים של פאלו אלטו, דיווחו שהם היו עדים למתקפות סייבר שכאלה.

קבוצת עכביש מפוזר, המכונה גם UNC3944, היא קהילת האקרים, רובם דוברי אנגלית, ובדרך כלל מדובר בבני נוער או בצעירים. המניע שלהם הוא כלכלי: לגנוב נתונים רגישים מרשתות הקורבן ולסחוט אותו. הם ידועים גם בטקטיקות ההונאה שלהם – לרוב אלה מתבססות על הנדסה חברתית, פישינג ולפעמים גם על איומים באלימות כלפי מוקדי תמיכה ומוקדים טלפוניים של הקורבן. זאת, כדי לקבל גישה לרשתות שלהם, ולפעמים לפרוס כופרות.

לפי הודעת ה-FBI, "ההאקרים עלולים לפגוע בתאגידים גדולים ובספקי ה-IT של צד שלישי שלהם". כלומר, נמסר, "כל אחד במערכת הסובבת של חברות התעופה, כולל ספקים וקבלנים – עלול להיות בסיכון".

גם חברות תעופה מהוואי ומקנדה דיווחו שנפרצו

האזהרה של ה-FBI הגיעה לאחר שבוצעו לפחות שתי פריצות לחברות תעופה, שעליהן הן דיווחו בחודש שעבר: הוואיאן (Hawaiian Airlines) וכן חברת התעופה השנייה בגודלה בקנדה, ווסטג'ט. דיווחים בתקשורת קישרו את האירועים האלה לחברי עכביש מפוזר.

מומחים ציינו שגל חדש זה של מתקפות מגיע זמן קצר לאחר שכנופיית פושעי הסייבר התמקדה במגזר הקמעונאי בבריטניה ובתעשיית הביטוח. כמו כן, ההאקרים פרצו בעבר לרשתות מלונות, בתי קזינו וענקיות טכנולוגיה. כך, קבוצת העכביש המפוזר זכתה לפרסום בזכות מעורבותה בפריצה ובסחיטה של שתי חברות הימורים וקזינו ענקיות – סיזרס אנטרטיינמנט ו-MGM Resorts International – ב-2023. באחרונה, חבריה פרצו ללקוחות סנואופלייק.