今年4月底至5月初,黑客组织Scattered Spider(0ktapus、Octo Tempest、UNC3944、Muddled Libra)传出利用勒索软件DragonForce犯案,攻击英国玛莎百货(Marks & Spencer,M&S)、连锁超市Co-op、精品百货公司哈洛德(Harrods)等多家零售企业,后续Google提出警告,这些黑客转移目标,针对美国零售企业而来,6月中旬再度转换标的,攻击美国保险公司的IT支持部门,如今有多组研究人员提出警告,Scattered Spider持续将魔掌伸向其他产业。

根据安全新闻网站Bleeping Computer的报道,6月12日加拿大第二大的航空公司西捷航空(WestJet)遭受网络攻击,导致内部部分服务及移动设备App中断的事故,犯案的黑客组织就是Scattered Spider。他们取得知情人士的说法,在这起事件发生之后,微软与安全企业Palo Alto Networks加入协助回应安全事故的行列,根据调查的结果,黑客入侵了西捷航空的数据中心,以及微软云计算服务环境。

针对这些黑客取得初期入侵渠道的手法,疑似使用员工自助密码重设的机制得逞,然后黑客成功注册自己的多因素验证(MFA),而能远程通过Citrix设备访问西捷航空的网络环境。

不仅如此,上周披露遭遇网络攻击事故的夏威夷航空(Hawaiian Airlines),有知情人士向Bleeping Computer透露,攻击者的身份也是Scattered Spider。

这两起事故究竟是纯属巧合,还是黑客专门锁定航空公司犯案?有两组研究团体提供出了看法。Mandiant首席技术官Charles Carmakal、Palo Alto Networks资深副总裁Sam Rubin在职场社交媒体网站LinkedIn提出警告,不约而同指出Scattered Spider锁定北美的航空、交通产业而来的现象,呼吁企业组织根据他们公开的研究报告严加防范。

Charles Carmakal表示他们已掌握多起相关事故,呼吁相关产业应在员工和供应商的账号加入电话号码之前,服务台必须采取更严谨的验证程序,原因是攻击者很可能滥用这些电话号码来使用自助密码重设系统,进而重设密码或添加能用来执行多因素验证的设备;Sam Rubin也提出类似看法,对于社交工程攻击与多因素验证重设的请求,他们认为企业组织提高警觉来防范。

美国联邦调查局(FBI)也针对这些黑客的动态提出警告,他们也掌握这些黑客将攻击范围延伸到航空业的情报,并指出Scattered Spider依赖社交工程手法,冒充员工或承承包商,诱骗服务台授给访问权限,其中一种便是为遭到入侵的账号注册未经授权的多因素验证设备。FBI指出,一旦黑客得逞进入到网络环境,就会窃取受害组织的敏感数据并进行勒索,他们也有可能部署勒索软件来加密文件。