O Center for Internet Security (CIS), entidade com sede nos EUA dedicada à segurança da internet, registrou em seu relatório de incidentes de 2013 ataques a nada menos do que 75 redes de aeroportos americanos – duas das quais foram comprometidas.A contaminação aconteceu por meio de phishing destinado a profissionais da indústria da aviação. Veja o que diz o relatório no texto abaixo.
O documento completo em HTML e PDF pode ser lido aqui:
https://www.cisecurity.org/annual-report/2013/
“Estudo de Caso: Ameaças Persistentes Avançadas (APT) Campanha Alvejando Aeroportos Ameaças Persistentes Avançadas mantiveram-se como ameaça constante para redes governamentais SLTT em 2013. No verão de 2013, o CIS foi notificado sobre a potencial atividade de APT visando quatro aeroportos nos EUA, mas não havia outros detalhes sobre indicadores de rede.
O CIS contactou cada entidade para alertá-las sobre a atividade maliciosa e pediu seus logs de rede das três semanas anteriores para fazer a análise de correlação com os indicadores de ameaças APT. O CIS recebeu então a notificação de que o mesmo grupo de atores do APT estava alvejando mais oito entidades. Aproveitando a infra-estrutura de monitoramento de segurança do CIS e utilizando os indicadores fornecidos por outros parceiros, o CIS identificou tráfego malicioso de dois estados.
O CIS imediatamente associou os estados e começou a análise, identificando um e-mail de phishing que continha um link para um dos indicadores maliciosos e estava dirigido para indivíduos que trabalham na indústria da aviação. O CIS localizou um documento público que parecia ser a fonte utilizada pelos atacantes para selecionar as vítimas do e-mail de phishing. O CIS enviou notificações, incluindo os indicadores relevantes, a todas as entidades que tiveram um contato listado no documento público e pediu às entidades para procurar nos gateways de e-mail os e-mails contendo links para esses indicadores.
O CIS também emitiu um ciberalerta para os governos locais, tribais e territoriais, bem como aos parceiros federais incluindo DHS, FAA e NCCIC, descrevendo a campanha, incluindo toda a rede e indicadores do sistema de arquivos. O CIS também contatou uma entidade afiliada da aviação e colaborou com ela para distribuir o alerta para todos os seus membros, notificando-os do ataque e fornecendo-lhe os indicadores de comprometimento.
O CIS concluiu que um total de 75 aeroportos nos EUA foram afetados, e em dois deles os sistemas foram comprometidos. O CIS forneceu assistência e todos os sistemas comprometidos foram remediados.”