Toute forteresse a son point faible. Et en matière de cybersécurité, c'est bien connu que pour s'attaquer à plus fort que soi, autant s'attaquer aux partenaires de sa cible : c'est l'attaque par rebond. Le géant aéronautique Airbus vient d'en faire les frais comme le raconte HudsonRock spécialisé dans les investigations cybercriminelles. La société explique ainsi avoir découvert qu'un cyberpirate se faisant appeler USDoS a leaké sur un le dark web des informations personnelles de 3 200 clients d'Airbus, incluant des noms, des adresses, des numéros de téléphone et des adresses e-mail... Parmi ses clients, on trouve de grands noms comme Thales, Rockwell Collins, etc. Selon Hudson Rock, l'acteur malveillant semble être lié à une violation du système InfraGard du FBI datant de décembre 2022.
Les chercheurs en sécurité d'HudsonRock ont réussi à remonter le fil de la pelote et ont trouvé le vecteur d'attaque initial. Tout est parti de l'infection d'un poste de travail d'un employé de la compagnie aérienne turque Turkish Airlines par un malware - de la famille des infostealers - camouflé en une version compromise du framework Microsoft .NET. « Les informations d'identification obtenues à partir d'infections par des voleurs d'informations, qui sont devenues le principal vecteur d'attaque initial ces dernières années, offrent aux acteurs de la menace des points d'entrée faciles dans les entreprises, facilitant les violations de données et les attaques par ransomware », explique HudsonRock. Une fois les identifiants obtenus, le cyberpirate a réussi à mettre la main sur des données client d'Airbus, mais HudsonRock ne livre pas plus d'informations sur le sujet.
Le leak confirmé par Airbus
Prévenu par HudsonRock, le CERT d'Airbus a confirmé ce leak : « Nous pouvons confirmer le recoupement de vos découvertes pour ce compte utilisateur. Des actions ont été prises sur ce compte pour prévenir un futur accès. Les autres comptes listés sur votre plateforme ont aussi été notifiés par des actions similaires qui seront effectuées pour tous les utilisateurs de façon imminente ». Contacté par The Register, Airbus a précisé : « Ce compte a été utilisé pour télécharger des documents commerciaux dédiés à ce client à partir d'un portail web d'Airbus [...] Des mesures correctives et de suivi immédiat ont été prises par nos équipes de sécurité pour éviter que nos systèmes ne soient compromis ».