Hackers chinos despliegan campaña de robo de información contra múltiples aerolíneas

Los datos personales de los usuarios de aerolíneas en todo el mundo se han convertido en uno de los principales objetivos de los grupos de hacking. La más reciente campaña relacionada con estos ataques ha sido atribuida a un grupo de hacking chino identificado como Chimera, detectado a mediados de 2020.

Aunque los primeros reportes sobre Chimera sugerían que los atacantes enfocaban sus esfuerzos contra la industria de superconductores en Taiwán, informes posteriores determinaron que estos hackers habían extendido sus ataques contra diversas aerolíneas. NCC Group, firma de ciberseguridad, menciona que este grupo fue identificado en diversos incidentes reportados entre octubre de 2019 y abril de 2020, cuando el grupo comenzó a expandirse hacia otros lugares fuera de Asia.

Mientras que el objetivo principal de los ataques iniciales era el robo de propiedad intelectual, la segunda ola de actividad de este grupo ce centró en el robo de información de las aerolíneas: Los hackers buscaban obtener registros de nombres de pasajeros a través de archivos DLL personalizados, empleados para recuperar información personal de la memoria en los sistemas de procesamiento de datos.

Acorde a los expertos, los ataques de Chimera comienzan con la recopilación de credenciales de inicio de sesión de usuarios o empleados, información obtenida a través de otros incidentes de seguridad. Una vez obtenida esta información, los atacantes desplegaban campañas de relleno de credenciales para acceder a las cuentas comprometidas, desde donde buscaban inicios de sesión para acceder a sistemas corporativos, redes VPN, ect.

En caso de conseguir acceso a las redes internas de una organización, los hackers maliciosos usaban Cobalt Strike para desplazarse de forma inadvertida buscando  direcciones IP y detalles de los usuarios de aerolíneas.

Esta variante de ataque requiere gran paciencia, los reportes mencionan que indican que los hackers pudieron haber pasado hasta 3 años antes de ser descubiertos. Al encontrar la información de su interés, los hackers la enviaban a servicios de nube como OneDrive, Google o Dropbox, pues el tráfico de estos servicios no sería analizado por las redes comprometidas.

Sobre las motivaciones de estos ataques, los expertos mencionan que los cibercriminales buscan acceder a los mayores detalles posibles de personas de interés, ya sean empresarios, agentes federales, políticos o incluso activistas. Un ejemplo de ello es la campaña que el grupo de hacking chino identificado como APT41 desplegó contra múltiples empresas de telecomunicaciones buscando un mayor control sobre la minoría uiguri, en algunos casos llegando a rastrear sus movimientos fuera de China.

Hasta el momento se ignora cuántos usuarios podrían haber sido afectados por esta campaña, aunque los investigadores creen que sigue activa.