Ruski državni hekerji stojijo za vdorom na letališče v San Franciscu

Hekerji, ki naj bi delovali v imenu ruske vlade, so vdrli v dve spletni strani, ki ju upravlja mednarodno letališče San Francisco, je danes sporočilo podjetje za kibernetsko varnost ESET.

Vdori so se zgodili prejšnji mesec, marca, glede na obvestilo o kršitvi podatkov [PDF] objavljen na spletni strani letališča.

Napadi so bili usmerjeni SFOConnect.com, spletno stran, ki jo uporabljajo letališki uslužbenci, in SFOConstruction.com, portal, ki ga uporabljajo izvajalci gradnje letališč.

Po besedah ​​uradnikov letališča v San Franciscu so hekerji vdrli v obe spletni strani in podtaknili kodo, ki je izkoriščala napako Internet Explorerja za krajo poverilnic za prijavo.

Toda v nizu današnjih tvitov je ESET dejal, da "ciljne informacije NISO bile obiskovalčeve poverilnice za ogrožena spletna mesta, temveč obiskovalčeve lastne poverilnice za Windows."

"Namen je bil zbrati poverilnice Windows (uporabniško ime/NTLM hash) obiskovalcev z izkoriščanjem funkcije SMB in predpone file://," je povedala raziskovalna skupina ESET.

Zgoščene vrednosti NTLM je mogoče razbiti, da se pridobi različica z jasnim besedilom uporabnikovega gesla za Windows. Če bi hekerji imeli dostop do notranjega omrežja letališča, bi lahko uporabili poverilnice, pridobljene z letališča zaposlenih bočno širiti po internem omrežju letališča izvajati izvidovanje krajo podatkov oz sabotaža.

ESET povezuje vdore z Energetic Bear

ESET je dejal, da je napad izvedel akter grožnje, znan kot Energični medved (znan tudi kot DragonFly). Skupina je aktivna od leta 2010 in naj bi delovala v imenu ruske vlade.

Skupina je ena najbolj aktivnih ruskih subjektov, ki jih sponzorira država. V zadnjem desetletju so hekerji Energetic Bear stali za obsežno hekersko kampanjo, ki je ciljala na organizacije po vsem svetu.

Glavne tarče skupine so bile organizacije v energetskem sektorju – od tod tudi njeno ime Energetic Bear – predvsem tiste na Bližnjem vzhodu, v Turčiji in ZDA.

Vendar pa je Energetic Bear pred kratkim začel ciljati tudi na druge vrste organizacij, vključno s podjetji v vesoljskem in letalskem sektorju, glede na poročilo, ki ga je Kaspersky objavil aprila 2018, in an opozorilo, ki ga je takrat poslalo ameriško ministrstvo za domovinsko varnost.

Pravzaprav isto poročilo družbe Kaspersky podrobno opisuje vrsto napadi napajalnikov izvedel Energetic Bear, ki je uporabil isto "file:// predpono" trik za pridobitev zgoščenih vrednosti NTLM od uporabnikov, ki obiščejo ogroženo spletno mesto.

Nedavno prijavljena kršitev #SFO letaliških spletnih mest je v skladu s TTP-ji skupine APT, znane kot Dragonfly/Energetic Bear. Namen je bil zbrati poverilnice Windows (uporabniško ime/NTLM hash) obiskovalcev z izkoriščanjem funkcije SMB in predpone file:// #ESETraziskovanje 1/2 pic.twitter.com/pDZMdb49lb

— ESET raziskava (@ESETresearch) 14. april 2020

"To tehniko že leta uporablja Energetic Bear/DragonFly," je povedal Matthieu Faou, raziskovalec zlonamerne programske opreme pri ESET. ZDNet v današnjem intervjuju.

Faouja smo tudi prosili, naj razširi tvite podjetja, in vprašali, ali je ta vdor del nove kampanje, namenjene ameriškemu letalskemu sektorju.

"Nimamo nobenih informacij o ogroženosti druge spletne strani letališča," nam je povedal Faou. "Glede na telemetrijo ESET so druge spletne strani, ki so bile nedavno ogrožene, večinoma medijske spletne strani v vzhodni Evropi."

Letališče San Francisco ponastavi vsa gesla zaposlenih

Faou je dejal, da so, ko so zaznali, da se tehnika ponovno uporablja v divjini, "to prijavili nemudoma letališki ekipi SFO", ki je "hitro odstranila zlonamerno kodo iz svojih Spletna stran."

Letališki uradniki so nato v ponedeljek, 23. marca 2020, vsilili ponastavitev gesel za "vsa gesla za e-pošto in omrežja, povezana s SFO."

Ponastavitev gesla je dovolj, da hekerjem prepreči uporabo ukradenih zgoščenih vrednosti NTLM za morebitne prihodnje vdore.

Vendar pa so obe spletni strani uporabljali tudi drugi uporabniki, ki niso bili zaposleni na letališču. Z obvestilom o kršitvi javne varnosti letališče v San Franciscu zdaj poziva uporabnike, ki so pred kratkim obiskali spletno mesto, naj izvedejo podobne ukrepe in ponastavijo svoja gesla za Windows.