КЛІВЛЕНД, Огайо — У той час, коли авіаційна галузь готується до піку літніх перевезень, нова загроза затьмарює горизонт: кіберзлочинна група Scattered Spider, відома своєю зухвалістю та витонченістю, націлилася на авіакомпанії, їхніх постачальників і партнерів, включаючи ключові об’єкти в Огайо. Федеральне бюро розслідувань (ФБР) видало термінове попередження, розкриваючи, як ця група, що складається переважно з молодих англомовних хакерів, використовує передові техніки соціального інжинірингу, щоб проникати в захищені системи, викрадати конфіденційні дані та розгортати програми-вимагачі. Для Огайо, де авіаційний сектор, зокрема регіональний аеропорт Янгстаун-Воррен і компанії, пов’язані з Міжнародним аеропортом Клівленд Гопкінс, відіграє ключову економічну роль, ці атаки є тривожним дзвінком.
Scattered Spider, також відомі як UNC3944, Muddled Libra чи Octo Tempest, прославилися в 2023 році зламом казино MGM Resorts і Caesars Entertainment, що призвело до виплати викупу в розмірі 15 мільйонів доларів у випадку з Caesars. Тепер група переключила свою увагу на авіацію, використовуючи тактики, які експлуатують людську довіру, а не технічні вразливості. «Ці зловмисники видають себе за співробітників або підрядників, обманюючи служби технічної підтримки, щоб отримати доступ до мереж», — йдеться в повідомленні ФБР, опублікованому на X. У багатьох випадках хакери переконують операторів технічних служб додати неавторизовані пристрої до систем багатофакторної аутентифікації (MFA), обходячи навіть найнадійніші протоколи безпеки.
Тактики та цілі
Методи Scattered Spider вражають своєю простотою та ефективністю. За даними ФБР, група використовує соціальний інжиніринг, включаючи дзвінки до технічних служб, під час яких хакери, видаючи себе за працівників компаній, просять скинути паролі чи додати нові номери телефонів до облікових записів. Як зазначив Чарльз Кармакал, технічний директор Mandiant (підрозділу Google Cloud), у заяві на LinkedIn, Scattered Spider демонструє «послідовний шаблон» зосередження на одній галузі перед переходом до іншої, що робить їх атаки особливо руйнівними. Після проникнення в мережу хакери викрадають конфіденційні дані для вимагання або розгортають програми-вимагачі, такі як BlackCat/ALPHV, які блокують системи та вимагають викуп.
Авіаційна галузь, з її складною екосистемою, що включає авіакомпанії, ІТ-провайдерів і постачальників, є ідеальною мішенню. У червні 2025 року Hawaiian Airlines повідомила про кібератаку, яка порушила роботу деяких її ІТ-систем, хоча польоти залишилися безпечними. Канадська авіакомпанія WestJet також зазнала атаки 13 червня, що призвела до тимчасових збоїв у роботі її додатку та внутрішніх систем. Джерела, близькі до розслідування, повідомили The Record, що обидва інциденти мають ознаки роботи Scattered Spider. В Огайо, де авіаційна інфраструктура включає важливі об’єкти, такі як Youngstown Air Reserve Station, і численні логістичні компанії, пов’язані з аеропортом Клівленда, ризик зараження через сторонніх постачальників є особливо високим.
Вплив на Огайо та авіаційну галузь
Авіаційний сектор Огайо, який генерує 40 мільярдів доларів економічної активності щороку, за даними Ohio Aviation Association, стикається з безпрецедентною загрозою. Аеропорт Клівленд Гопкінс, що обробляє 10 мільйонів пасажирів щорічно, і регіональний аеропорт Янгстаун-Воррен, який підтримує як комерційні, так і військові операції, є потенційними цілями через їхню залежність від складних ІТ-систем і сторонніх постачальників. За даними Cybersecurity and Infrastructure Security Agency (CISA), атаки на ланцюги постачання, подібні до тих, що проводить Scattered Spider, зросли на 42% у 2024 році, що робить вразливими навіть компанії, які не є прямими цілями.
Сам Рубін, віце-президент Unit 42 компанії Palo Alto Networks, закликав організації авіаційного сектору бути «в стані підвищеної готовності» до цільових атак соціального інжинірингу та підозрілих запитів на скидання MFA. Наприклад, хакери можуть використовувати техніку «MFA fatigue», за якої користувачів засипають запитами на підтвердження автентифікації, поки один із них не буде прийнятий під тиском. У звіті ReliaQuest описується випадок, коли Scattered Spider отримали доступ до сховища паролів CyberArk, викравши понад 1400 секретів, і навіть видалили правила брандмауера Azure, щоб ускладнити роботу компаній.
Реакція та рекомендації
ФБР, у співпраці з авіаційними партнерами, закликає компанії негайно повідомляти про підозрілу активність, щоб запобігти подальшим порушенням. «Раннє повідомлення дозволяє нам ділитися розвідданими та зупиняти атаки», — заявили в агентстві. Експерти з Mandiant і Unit 42 рекомендують посилити процедури перевірки особи в технічних службах, запровадивши двоетапну верифікацію та навчання персоналу розпізнаванню соціального інжинірингу. Крім того, впровадження стійкого до фішингу MFA, наприклад, апаратних токенів, може значно знизити ризик.
В Огайо місцева авіаційна спільнота вже реагує. Джерела в Cleveland Hopkins International Airport повідомили News5Cleveland, що аеропорт переглядає протоколи безпеки своїх ІТ-партнерів, а Youngstown-Warren Regional Airport співпрацює з місцевою поліцією для оцінки вразливостей. «Ми не можемо дозволити, щоб наша інфраструктура стала заручником кіберзлочинців», — сказав Ентоні Тревена, виконавчий директор Western Reserve Port Authority, коментуючи нещодавню авіакатастрофу в Хауленді, яка підкреслила важливість безпеки в регіоні.
Глобальний контекст і майбутні виклики
Scattered Spider, які, за даними ФБР, діють із США та Великобританії, продемонстрували здатність швидко адаптуватися, переходячи від атак на казино в 2023 році до роздрібної торгівлі, страхування, а тепер і авіації. Їхня остання кампанія проти авіаційного сектору слідує за атаками на британські ритейлери, такі як Marks & Spencer і Co-op, та американські страхові компанії, такі як Aflac. У липні 2024 року 17-річний хакер із Великобританії був заарештований за причетність до атаки на MGM Resorts, що свідчить про молодий, але небезпечний склад групи.
Для Огайо, штату, який прагне зміцнити свою репутацію як логістичного та авіаційного хабу, ці атаки є суворим нагадуванням про вразливість цифрової інфраструктури. У той час, коли регіон інвестує в такі проєкти, як новий стадіон Cleveland Browns, кібербезпека стає такою ж важливою, як фізична безпека. Мешканці, такі як Джеймс Келлі, ІТ-консультант із Клівленда, висловлюють занепокоєння: «Якщо вони можуть обдурити авіакомпанії, то ніхто не в безпеці».
Поки ФБР і галузеві партнери працюють над стримуванням Scattered Spider, авіаційна галузь Огайо стоїть перед випробуванням: чи зможе вона захистити свої системи від ворога, який використовує довіру як зброю? Компаніям рекомендують звертатися до місцевого відділення ФБР у Клівленді за номером 216-522-1400 або через fbi.gov при виявленні підозрілої активності. У цифрову епоху, де межі між фізичною та кібернетичною безпекою стираються, ця боротьба може визначити майбутнє авіації в Огайо та за його межами.
