ESET сообщает, что российская хакерская группа, известная как Energetic Bear (DragonFly), стоит за взломом двух сайтов аэропорта.
Хакеры, предположительно работающие от имени российского правительства, взломали два веб-сайта, которыми управляет международный аэропорт Сан-Франциско, сообщила сегодня компания ESET по кибербезопасности.
Взломы произошли в прошлом месяце, в марте, согласно уведомлению о нарушении данных [ PDF ], размещенному на веб-сайте аэропорта.
Атаки были направлены на SFOConnect.com , сайт, используемый сотрудниками аэропорта, и SFOConstruction.com , портал, используемый подрядчиками строительства аэропорта.
По словам представителей аэропорта Сан-Франциско, хакеры взломали оба веб-сайта и внедрили код, который использовал ошибку Internet Explorer для кражи учетных данных.
Но в серии твитов сегодня ESET сказал, что «целевой информацией были не учетные данные посетителя скомпрометированных веб-сайтов, а собственные учетные данные пользователя Windows».
«Цель заключалась в том, чтобы собрать учетные данные Windows (имя пользователя / хэш NTLM) посетителей, используя функцию SMB и префикс file: //», - говорит исследовательская группа ESET.
Хеш-коды NTLM можно взломать, чтобы получить версию пароля пользователя Windows в виде открытого текста. Если бы хакеры имели доступ к внутренней сети аэропорта, они могли бы использовать учетные данные, полученные от сотрудников аэропорта, для бокового распространения по внутренней сети аэропорта для проведения разведки, кражи данных или саботажа.
ESET СВЯЗЫВАЕТ ВЗЛОМ С ENERGETIC BEAR
ESET сказал, что атака была осуществлена актером угрозы, известным как Энергичный Медведь (также известный как DragonFly). Группа действует с 2010 года и, как полагают, действует от имени правительства России.
Группа является одним из наиболее активных финансируемых государством предприятий. За прошедшее десятилетие хакеры «Энергичный медведь» стояли за широко распространенной хакерской кампанией, направленной на организации по всему миру.
Основными целями группы были организации в энергетическом секторе - отсюда и название «Энергетический медведь» - прежде всего, расположенные на Ближнем Востоке, в Турции и США.
Тем не менее, Energetic Bear также недавно начала нацеливаться на другие типы организаций, включая компании в аэрокосмической и авиационной сферах, согласно отчету, опубликованному Kaspersky в апреле 2018 года , и предупреждению, направленному в то время министерством внутренних дел США. Безопасность .
Фактически, в том же отчете Kaspersky подробно описана серия атак, осуществленных Energetic Bear, которые использовали тот же трюк « file: // prefix » для получения хешей NTLM от пользователей, посещающих взломанный сайт.