نفوذ به شرکت Envoy زیرمجموعه‌ی American Airlines در کمپین هک Oracle

شرکت Envoy Air، یکی از زیرمجموعه‌های کاملاً وابسته به American Airlines، تأیید کرده است که قربانی کمپین هکی شده که از آسیب‌پذیری‌های موجود در Oracle E-Business Suite (EBS) سوءاستفاده می‌کند.

این نفوذ که نخستین بار توسط گروه باج‌افزاری Clop افشا شد، نشان‌دهنده‌ی افزایش خطرات امنیتی برای نرم‌افزارهای سازمانی در صنعت هوانوردی است.

گروه Clop که به‌دلیل حملات اخاذی مشهور از جمله حملات به MOVEit Transfer شناخته می‌شود، هفته گذشته مسئولیت این حمله را بر عهده گرفت و American Airlines را در میان بیش از ۶۰ سازمانی معرفی کرد که به‌دلیل وصله‌نشدن نقص‌های امنیتی در Oracle EBS هدف قرار گرفته‌اند.

این گروه که فعالیت آن با شبکه‌های روسی مرتبط دانسته می‌شود، باج‌هایی را به‌صورت رمزارز مطالبه کرده و تهدید کرده است در صورت عدم پرداخت، داده‌های سرقت‌شده را در وب تاریک منتشر خواهد کرد.

هرچند Clop آسیب‌پذیری دقیق مورد استفاده را مشخص نکرده است، اما پژوهشگران امنیتی به مشکلات شناخته‌شده‌ای در Oracle WebLogic Server و ماژول‌های EBS از جمله CVE-2023-21931 اشاره می‌کنند که در صورت ایمن‌سازی ناقص می‌تواند منجر به اجرای کد از راه دور (RCE) شود.

بیانیه‌ی Envoy بلافاصله پس از انتشار ادعای حمله منتشر شد تا نگرانی ذی‌نفعان در مورد امنیت داده‌های حوزه‌ی هوانوردی کاهش یابد.

سخنگوی Envoy به وب‌سایت Cybersecurity News گفت:
«ما از حادثه‌ی مربوط به برنامه‌ی Oracle E-Business Suite خود مطلع شدیم. بلافاصله تحقیقات را آغاز کرده و موضوع را به نیروهای انتظامی گزارش دادیم.»

او افزود:
«ما بررسی دقیقی از داده‌های تحت تأثیر انجام دادیم و تأیید می‌کنیم که هیچ داده‌ی حساس یا اطلاعات مشتریان تحت تأثیر قرار نگرفته است. تنها مقدار محدودی از اطلاعات تجاری و جزئیات تماس‌های کاری در معرض خطر قرار گرفته‌اند.»

سخنگو تأکید کرد که اطلاعات مسافران، عملیات پروازی و داده‌های هویتی محفوظ مانده‌اند و هیچ خطری برای مسافران وجود ندارد.

بااین‌حال، افشای داده‌های داخلی می‌تواند زمینه‌ساز حملات فیشینگ یا افشای اطلاعات تجاری شود؛ به‌ویژه برای شرکتی که بیش از ۱۵۰ هواپیما را اداره کرده و سالانه میلیون‌ها مسافر را زیر برند American Airlines جابه‌جا می‌کند.

کارشناسان هشدار داده‌اند که این رویداد نشان‌دهنده‌ی ضعف ساختاری در سیستم‌های سازمانی قدیمی است. Oracle EBS که در حوزه‌های منابع انسانی، مالی و زنجیره‌ی تأمین استفاده گسترده‌ای دارد، به‌دلیل چرخه‌های کند وصله‌ی امنیتی مورد انتقاد قرار گرفته است.

طبق گزارش شرکت امنیتی Mandiant، تاکتیک‌های Clop معمولاً با هدف قراردادن نرم‌افزارهای واسطه طراحی می‌شود تا دامنه‌ی نفوذ گسترش یابد و نه‌فقط قربانیان مستقیم، بلکه کل اکوسیستم را درگیر کند.

در حالی که تحقیقات با همکاری نهادهای فدرال از جمله FBI Cyber Division ادامه دارد، Envoy اعلام کرد نظارت امنیتی را افزایش داده و سامانه‌های Oracle خود را به‌روزرسانی کرده است. American Airlines نیز با وجود اینکه نامش در داده‌های درز کرده ذکر نشده، اقدامات دفاعی بیشتری برای حمایت از زیرمجموعه‌ی خود اتخاذ کرده است.

این رخداد در بحبوحه‌ی موجی از حملات سایبری علیه صنعت هوانوردی رخ می‌دهد؛ از حملات باج‌افزاری به فرودگاه‌ها تا جاسوسی‌های سایبری دولتی. کارشناسان امنیتی خواستار استفاده‌ی گسترده‌تر از معماری Zero Trust برای محافظت از زیرساخت‌های حیاتی شده‌اند.

در حال حاضر، مسافران Envoy می‌توانند با آرامش نسبی پرواز کنند، اما این حادثه یادآوری تلخ است که در امنیت سایبری، یک ضعف کوچک می‌تواند کل عملیات را زمین‌گیر کند.