Специалисты компании NCC Group и ее дочерней фирмы Fox-IT сообщили о новом направлении атак киберпреступной группировки, известной под названием Chimera. Она, предположительно, действует в интересах властей КНР и ранее «отметилась» серией тщательно подготовленных атак на тайваньские компании, связанные с производством сверхпроводящих материалов. Целью хакеров в этих случаях было похищение технологий.

Однако новый отчет NCC Group и Fox-IT свидетельствует о том, что круг интересов Chimera существенно шире. Уже не один год группировка атакует авиакомпании и сервисы бронирования билетов, причем не только в Азии, но и по всему миру. Схема этих атак в общем виде довольно проста. На первом этапе хакеры взламывают учетные записи сотрудников организаций-жертв, используя атаки brute-force или перебор паролей, оказавшихся в общем доступе в результате предыдущих массовых утечек. Затем киберпреступники проникают в корпоративные сети и запускают инструмент Cobalt Strike, которые служит исследователям для моделирования атак и поиска уязвимостей, но давно уже освоен и хакерами. В отчете NCC Group и Fox-IT говорится, что злоумышленникам Chimera в некоторых случаях удавалось скрывать свое присутствие в сетях жертв более трех лет.

Конечной целью атак являются сведения о бронированиях и авиаперелетах, совершаемых пассажирами. Исследователи воздержались от высказывания предположений о том, с какой целью похищается эта информация. Но ответ представляется достаточно очевидным: это далеко не первая целевая атака на авиакомпании, сервисы бронирования, цепочки отелей и т.д. И как правило, хакеров, имеющих поддержку на правительственном уровне, интересуют перемещения конкретных лиц, являющихся, вероятнее всего, объектами слежки и шпионажа.