سیستم پردازش مسافر با کاربرد مشترک آرینک باعث اختلال در پروازها در سراسر اروپا می شود

آنچه ما می دانیم (و آنچه ما این کار را نمی کنیم) در مورد حمله سایبری در فرودگاه های اروپا

خلاصه

• فرودگاه های بزرگ اروپا از جمله هیترو ، بروکسل ، برلین و دوبلین از اختلال در سیستم های ورود به سیستم ، شبانه روزی و کیوسک خبر داده اند. این قطع ارتباط با سکوی پردازش مسافر Collins Aerospace Muse ، سیستمی که در بسیاری از فرودگاه های بین المللی استفاده می شود ، مرتبط است.

• این حادثه به عنوان یک حمله باج افزار در گزارش های رسانه ای با استناد به آژانس اتحادیه اروپا برای امنیت سایبریاگرچه هیچ بیانیه رسمی از آژانس منتشر نشده است.

• با توجه به آژانس جرم ملی و بعداً توسط اخبار بی بی سی ، مقامات انگلیس یکی از مظنونان را در غرب ساسکس دستگیر کردند. این فرد بعداً با وثیقه مشروط آزاد شد. تحقیقات فعال است.

• نوع پشت اختلال در فرودگاه تأیید نشده است. برخی از گزارش ها Hardbit را پیشنهاد کرده اند ، یک عملیات باج افزار بسته از سال 2022 که سازمانها را مستقیماً هدف قرار می دهد.

• Blackbit و Lokilocker همچنین در بحث های رسانه ای و جامعه پیرامون این پرونده پخش شده اند ، اما این منابع به نظر می رسد سوداگرانه است. Blackbit به عنوان یک سرویس باج افزار در مقیاس کوچک به عنوان یک سرویس ارتقا یافته است ، در حالی که Lokilocker بیشتر شبیه یک نوع گمراه کننده یا حاشیه با شواهد کمی از فعالیت سازمان یافته است. در حال حاضر ، هیچ یک از این خانواده ها رسماً با این حادثه گره خورده اند.

سوالات بی پاسخ

• نوع باج افزار تأیید نشده است.

• وکتور نفوذ ناشناخته است ، از جمله اینکه مهاجمان به طور مستقیم هوافضا کالینز را به خطر می اندازند یا از طریق زنجیره تأمین شخص ثالث دسترسی پیدا می کنند.

• دامنه کامل فرودگاه ها و خطوط هوایی آسیب دیده به طور عمومی فاش نشده است و جدول زمانی برای ترمیم کامل هنوز مشخص نیست.

• هنوز مشخص نیست که آیا داده ها از بین رفته اند ، تقاضای باج صادر شده است یا اینکه کدام یک از بازیگران ممکن است مسئول باشند ، چه یک گروه جنایی ، یک کشور یا خودی.

سیاه چاله فوق العاده: این موزه ای نیست که به دنبال آن هستید

سکوی Arinc Muse Collins Aerospace ، امروز به عنوان VMUSE و CMUS ارائه می شود، به چندین شرکت هواپیمایی اجازه می دهد تا پیشخوان های چک ، کیوسک و دروازه های شبانه روزی را به اشتراک بگذارند ، هزینه ها را کاهش داده و از فضای محدود استفاده بهتری کنند. VMUSE مدل میراثی است که فرودگاه ها به صورت محلی اداره می شوند ، در حالی که CMUSE نسخه مدرن و مبتنی بر ابر است که مستقیماً توسط کالینز تهیه شده است. هر دو کارایی را بهبود می بخشند ، اما CMUS باعث افزایش وابستگی به مقاومت فروشنده می شود. به گفته فروشنده مواد ، صدها شرکت هواپیمایی و فرودگاه در سراسر جهان به Muse متکی هستند و در آوریل 2025 هیترو قرارداد خود را برای CMUS تجدید کرد ، که اکنون بیش از 80 شرکت هواپیمایی را در هر چهار پایانه پشتیبانی می کند.

در آوریل 2025 ، فرودگاه هیترو قرارداد خود را تمدید کرد با استفاده از هوافضا کالینز برای ادامه استفاده از CMUS ARINC در تمام پایانه ها.

این کارآیی با خطر همراه است. یک بستر مشترک یک نقطه از شکست را ایجاد می کند. اگر Muse مختل شود ، تأثیر محدود به یک شرکت هواپیمایی نمی ماند. تمام پایانه ها کند می شوند ، پروازها به تأخیر می افتند یا لغو می شوند و مسافران با بازگشت کارکنان به فرآیندهای دستی ، با خطوط طولانی روبرو می شوند. سیستمی ایجاد شده برای پشتیبانی از سفر صاف می تواند به سرعت به یک تنگنا که هزاران مسافر را تحت تأثیر قرار می دهد تبدیل شود.

این هسته اصلی یک مشکل زنجیره تأمین است. فرودگاه ها و شرکت های هواپیمایی به نرم افزار یک فروشنده بستگی دارند که آنها نمی توانند به طور کامل کنترل کنند. اگر مهاجمان آن فروشنده را به خطر بیاندازند یا اگر این پلتفرم مختل شود ، آبشارهای تأثیر در هر سازمان وابسته است.

بخش حمل و نقل هوایی در گذشته با خطرات مشابهی روبرو بوده است ، اما دامنه اینجا گسترده تر است. در سال 2021 ، مهاجمان سیتا را به خطر انداختند، یک ارائه دهنده اصلی فناوری اطلاعات و مسافر ، داده های مربوط به برنامه های مکرر پرواز را در چندین شرکت هواپیمایی قرار می دهد.

امسال ، عنکبوت پراکنده عملیات خود را در بخش حمل و نقل هوایی گسترش داد، هدف قرار دادن ارائه دهندگان فناوری اطلاعات برون سپاری و سیستم های هویت مورد استفاده توسط شرکت های هواپیمایی و خدمات فرودگاهی. این گروه که مدتها با مهندسی اجتماعی و سوءاستفاده از ارائه دهنده هویت در ارتباط است ، نشانه هایی از تکه تکه شدن و تجدید نظر را نشان داده است ، که گفته می شود عناصر مربوط به شکارچیان بین المللی و بقایای Lapsus $ است. این ساختار سیال انتساب را پیچیده می کند زیرا تاکتیک های مرتبط با عنکبوت پراکنده حتی با تکامل گروه ادامه می یابد. در حالی که هیچ مدرکی آنها را مستقیماً با اختلال در فرودگاه مرتبط نمی کند ، فعالیت اخیر آنها نشان دهنده قرار گرفتن در معرض روزافزون این بخش در گروه های جنایتکار پیشرفته است.

پارادوکس استثناء دهلی

گزارش ها حاکی از آن است که فرودگاه دهلی از نرم افزار پردازش مسافر Muse که در اروپا تحت تأثیر قرار گرفته است ، استفاده می کند ، در حالی که گوا ، حیدرآباد و سایر فرودگاه های هند بر روی سیستم های مختلف کار می کنند. با این حال ، طبق گفته وزارت الکترونیک و فناوری اطلاعات ، با وجود قطع گسترده در هیترو ، بروکسل و برلین ، هیچ تاثیری در هند مشاهده نشده است. این سؤال را ایجاد می کند: چرا دهلی در حالی که سایر فرودگاه ها پس از حمله باج افزار مواجه هستند ، پس انداز شد؟

“بروزرسانی: متأسفانه ، ممکن است تاخیر و لغو پروازها در BER ادامه داشته باشد. لطفاً وضعیت پرواز را با هواپیمایی خود از قبل بررسی کرده و از چک آنلاین استفاده کنید.” گزارش BER – فرودگاه برلین براندنبورگ در حساب X خودبشر

دهلی ممکن است به دلایل مختلف از اختلال جلوگیری کرده باشد. استقرار آن از Muse می تواند به روش هایی که باعث کاهش قرار گرفتن در معرض می شود ، تقسیم یا سفارشی شود. خود مهاجمان ممکن است فقط در موارد اروپایی متمرکز شده باشند ، یا برای به حداکثر رساندن تأثیر یا به این دلیل که فقط این اعزام ها دارای یک مجموعه آسیب پذیر بودند. وزارت فناوری اطلاعات هند پس از گزارش های مربوط به قطع ، سریعاً پاسخ داد و به فرودگاه ها دستور داد تا سیستم های خود را بررسی کنند ، وضعیت عملیاتی را تأیید کنند و نظارت بر امنیت را تشدید کنند.

افشای رسمی از RTX

در 19 سپتامبر 2025 ، شرکت RTX فرم 8-Okay را به کمیسیون اوراق بهادار و اوراق بهادار ایالات متحده تأیید کرد که یک حادثه باج افزار را که بر نرم افزار پردازش مسافر Muse خود تأثیر می گذارد ، تأیید کرد. این اولین تأیید رسمی است که این اختلال شامل باج افزار و سیستم های تحت تأثیر مستقیم توسط فرودگاه ها است.

شرکت های آمریکایی موظفند رویدادهای مهمی را که می تواند بر سرمایه گذاران یا عملیات تأثیر بگذارد ، فاش کنند. حوادث امنیت سایبری تحت این قانون قرار می گیرد و در حالی که RTX اظهار داشت که حمله باج افزار Muse تأثیر مالی مادی دارد ، این شرکت هنوز مجبور به اطلاع رسمی به تنظیم کننده ها و بازار است.

فرم SEC 8-K ثبت شده توسط شرکت RTX تأیید یک حادثه باج افزار که بر سیستم های فرودگاه موز آن تأثیر می گذارد.

با توجه به پرونده:

“در 19 سپتامبر 2025 ، شرکت RTX از یک حادثه امنیت سایبری محصول که شامل باج افزار بر روی سیستم هایی است که از نرم افزار پردازش مسافر سیستم چند کاربر (” MUSE “پشتیبانی می کنند ، آگاه شد.”

RTX توضیح داد که این سیستم ها جزئی از شبکه داخلی شرکت آن نیستند بلکه در عوض در محیط های خاص مشتری اجرا می شوند:

“سیستم های فرودگاه Muse در خارج از شبکه Enterprise RTX کار می کنند و در شبکه های خاص مشتری زندگی می کنند.”

این شرکت خاطرنشان کرد: مشتریان تحت تأثیر به فرآیندهای پشتیبان یا دستی تغییر یافته اند که منجر به تأخیر در پرواز و لغو شده است. RTX همچنین تأکید کرد که این اختلال در این مرحله از نظر مالی قابل توجه نبوده است:

“در حالی که تحقیقات و ارزیابی ما از این حادثه امنیت سایبری محصول در حال انجام است ، تأثیر مادی نداشته است و انتظار نمی رود که تأثیر مادی بر وضعیت مالی شرکت ، عملیات تجاری یا نتایج عملیات داشته باشد.”

RTX اظهار داشت که با کارشناسان امنیت سایبری داخلی و خارجی همکاری می کند ، با اجرای قانون و تنظیم کننده ها تماس گرفته است و از خطوط هوایی و فرودگاه ها پشتیبانی می کند.

شفافیت و تعهدات قانونی: چگونه قوانین افشای برای فرودگاه ها متفاوت است

به عنوان یک شرکت در لیست ایالات متحده ، RTX مشمول قوانین کمیسیون اوراق بهادار و بورس (SEC) است که نیاز به افشای سریع حوادث امنیت سایبری دارد. به همین دلیل است که RTX فرم 8-Okay را تشکیل داد و باج افزار را در سیستم های موز خود تأیید کرد ، حتی اگر تأکید کرد که این اختلال انتظار نمی رود تأثیر مالی “مادی” داشته باشد.

در اتحادیه اروپا ، فرودگاه هایی مانند بروکسل و برلین تحت پوشش دستورالعمل NIS2 قرار دارند که از اکتبر سال 2024 آنها را ملزم به گزارش حوادث مهم سایبری به تنظیم کننده های ملی اما نه برای عموم می کند ، مگر اینکه مقامات تصمیم گیری دیگری کنند. در انگلستان ، هیترو تحت چارچوب قدیمی NIS تنظیم می شود ، که نیاز به گزارش به اداره هواپیمایی کشوری (CAA) و مرکز ملی امنیت سایبری (NCSC) دارد. اگر داده های مسافر در معرض دید قرار گیرد ، فرودگاه همچنین باید به دفتر کمیساریای اطلاعات (ICO) ، تنظیم کننده حفاظت از داده های انگلیس اطلاع دهد. در هر دو سیستم ، قطع عملیاتی به تنظیم کننده ها گزارش می شود اما نیازی به افشای عمومی نیست.

این کنتراست نظارتی عدم تعادل در اطلاعات موجود را توضیح می دهد. پرونده SEC RTX تأیید واضح و روشن از باج افزار را ارائه داده است ، در حالی که هیترو و سایر فرودگاه ها اظهارات عمومی خود را به شدت بر اختلال در سرویس و بهبودی متمرکز کرده اند. آنچه مردم می بینند با شدت حادثه کمتر از مقررات افشای صلاحیت قضایی شکل می گیرد.

چه می آید بعدی

RTX اکنون تأیید کرده است که این اختلال ناشی از یک حادثه باج افزار بر روی نرم افزار پردازش مسافر Muse است. فرودگاه های سراسر اروپا مجبور به بازگشت به سیستم های دستی شدند و در نتیجه تأخیر و فسخ داشتند. تحقیقات هنوز در حال انجام است ، و هیچ خانواده با باج افزار خاص یا بازیگر تهدید به طور رسمی مشخص نشده است.

در X ، محقق امنیت سایبری و محقق امنیتی دومینیک الوییری گزارش های ذکر شده حاکی از آن است که هوافضا کالینز تحت تأثیر باج افزار Hardbit قرار گرفته است.

این حمله برجسته می کند که باج افزار تا چه اندازه تکامل یافته است. اولین مورد شناخته شده ، تروجان ایدز در سال 1989 ، بدوی بود و توسط دیسک های فلاپی گسترش یافت و 189 دلار برای بازگرداندن پرونده ها خواستار شد. در اواسط دهه 2010 ، گروه های باج افزار در حال رمزگذاری کل شبکه های شرکت بودند. بلافاصله پس از اخاذی مضاعف ، مهاجمان تهدید کردند که اگر قربانیان از پرداخت هزینه خودداری کنند ، داده های سرقت شده را نشت می کنند. امروزه ، بسیاری از گروه ها به عنوان نقاط فشار اضافی ، به اخاذی سه گانه ، تنظیم کننده های اهرمی ، شرکای تجاری و حتی مشتریان افزایش یافته اند. آنچه به عنوان یک تاکتیک خام آغاز شد ، به یک شرکت جنایی چند میلیارد دلاری تبدیل شده است.

صنعت حمل و نقل هوایی به ویژه در معرض دید است. سیستم های برون سپاری به اشتراک گذاشته شده ، مانند Muse برای کارآیی طراحی شده اند اما همچنین نقاط مشترک عدم موفقیت را ایجاد می کنند. یک اختلال واحد می تواند در چندین فرودگاه و خطوط هوایی ، پروازهای زمینی و مسافران رشته ای به مراتب فراتر از نقطه اولیه سازش ، برسد.

اگر سازش یک تأمین کننده بتواند در قاره ها سوار شود ، چگونه باید تنظیم کننده ها و فرودگاه ها به وابستگی خود به سیستم عامل های برون سپاری تجدید نظر کنند؟