เตือนภัย! กลุ่มแฮกเกอร์ Scattered Spider ใช้อุบาย Social Engineering เล่นงานอุตสาหกรรมการบิน

สำนักงานสอบสวนกลางสหรัฐ (FBI) และพันธมิตรด้านความมั่นคงไซเบอร์ของสหรัฐฯ ออกประกาศเตือนภัยองค์กรในอุตสาหกรรมการบิน หลังตรวจพบความเคลื่อนไหวของกลุ่มแฮกเกอร์ชื่อดัง “Scattered Spider” ที่เปลี่ยนเป้าหมายจากบริษัทเทคโนโลยีและความบันเทิง มาสู่ผู้ให้บริการสายการบิน โดยใช้เทคนิคหลอกลวงฝ่าย Help Desk เพื่อหลีกเลี่ยงระบบยืนยันตัวตนหลายขั้น (Multi-Factor Authentication หรือ MFA) และเจาะเข้าระบบคลาวด์ภายในองค์กร

Scattered Spider เป็นชื่อที่ได้รับการตั้งโดยบริษัทด้านความปลอดภัย เช่น Mandiant (Google Cloud) และ Unit 42 (Palo Alto Networks) เพื่อเรียกกลุ่มแฮกเกอร์ที่เชี่ยวชาญด้าน “การโจมตีผ่านคน” (human-centric attack) มากกว่าการเจาะระบบด้วยช่องโหว่ทางเทคนิคโดยตรง กลุ่มนี้มีชื่อเสียงจากการโจมตีบริษัทยักษ์ใหญ่ เช่น MGM Resorts และ Caesars Entertainment ในปี 2023 โดยใช้เทคนิค social engineering คือการล่อลวงหรือแอบอ้างเพื่อหลอกให้พนักงานปฏิบัติตามคำขอที่เป็นอันตราย

จากรายงานล่าสุด กลุ่ม Scattered Spider ได้เริ่มขยายการโจมตีมาสู่อุตสาหกรรมการบิน โดยมุ่งเป้าไปยัง สายการบินเชิงพาณิชย์, ผู้ให้บริการระบบสนับสนุนการบิน, ผู้รับเหมาด้านเทคโนโลยี และผู้ให้บริการคลาวด์ที่เกี่ยวข้องกับระบบข้อมูลการเดินทาง

ลักษณะของการโจมตีเริ่มจากการรวบรวมข้อมูลบุคคลภายในองค์กร (เช่น ชื่อ ตำแหน่ง เบอร์โทรศัพท์ อีเมลบริษัท) จากนั้นแอบอ้างเป็นพนักงาน โทรเข้า Help Desk เพื่อขอให้เพิ่มอุปกรณ์ MFA หรือรีเซ็ตรหัสผ่าน โดยอ้างเหตุผลต่างๆ เช่น โทรศัพท์หาย เปลี่ยนอุปกรณ์ หรืออยู่ระหว่างเดินทาง เมื่อได้สิทธิ์เข้าระบบแล้วจึงเริ่มการโจมตี เช่น ขโมยข้อมูลภายใน ติดตั้งมัลแวร์ หรือกระจายแรนซัมแวร์

สำหรับเหตุผลที่อุตสาหกรรมการบิน ตกเป็นเป้าหมายการเล่นงานส่วนหนึ่งก็น่าจะมาจาก เป็นอุตสาหกรรมที่ถือครองข้อมูลส่วนบุคคลจำนวนมหาศาล เช่น พาสปอร์ต, บัตรเครดิต, หมายเลขสมาชิกสะสมไมล์, ข้อมูลเที่ยวบิน ซึ่งข้อมูลเหล่านี้สามารถนำไป ขายในตลาดมืด, ใช้ฟอกเงิน, หรือ ปลอมแปลงตัวตน ได้ง่าย

นอกจากนี้ ยังเป็นอุตสาหกรรมที่พึ่งพาระบบ ภายนอกจำนวนมาก เช่น ระบบจองตั๋ว, ระบบประมวลผลภาษีสนามบิน, ผู้ให้บริการคลาวด์, ซัพพลายเชนด้านไอที ทำให้การโจมตี ผ่านช่องทาง supply chain หรือพนักงาน Help Desk มีโอกาสสำเร็จสูง และยากต่อการตรวจจับ

ที่สำคัญคือ ความต่อเนื่องของบริการ (service continuity) เป็นหัวใจของสายการบิน แฮกเกอร์จึงมั่นใจได้ว่า หากติดมัลแวร์หรือแรนซัมแวร์ จะมี โอกาสเรียกค่าไถ่ได้มาก เพราะบริษัทต้องรีบแก้ไขปัญหา ไม่สามารถหยุดให้บริการนานได้นั่นเอง

แม้จะยังไม่มีการยืนยันแน่ชัด แต่ก็มีการคาดการณ์ว่า เหตุการณ์สายการบิน WestJet ของแคนาดา และสายการบิน Hawaiian Airlines โดยภัยไซเบอร์เล่นงาน อาจเชื่อมโยงกับกลุ่ม Scattered Spider

ที่มา

ที่มา