Руски хакери атакуваха летището в Сан Франциско
Групата Energetic Bear стои зад нападението на два уеб страницата
Уебсайтове на летището в Сан Франциско паднаха жертва на хакери
(снимка: CC0 Public Domain)
Х акерската група Energetic Bear, ръководена от съветското държавно управление – съгласно компанията за сигурност ESET – е виновна за хакването на уеб уеб страниците на интернационалното летище в Сан Франциско.
Атаката против уеб страниците е осъществена в края на предишния месец, съгласно публична информация, оповестена на уебстраницата на летището. Основната цел на хакерите са били sfoconnect.com – уеб страница, който е наличен единствено за работещия на летището личен състав, и sfoconstruction.com – портал, употребен извънредно от строителни бизнесмени и сътрудници.
Според изказване на публични представители на летището, откакто са пробили сигурността на двата уеб страницата, хакерите са съумели да прикачат спомагателен код от вид експлойт, който се възползва от бъг в браузъра Internet Explorer на Microsoft, и краде потребителски имена и пароли за достъп на потребителите.
Но от екипа за кибер сигурност на ESET са на друго мнение: „ Желанието на хакерите е било да уловят потребителски имена и пароли за Windows (NTLM хаш) от посетителите и потребителите на двата уеб страницата посредством експлойт на SMB протокола и file:// префикса ”, разясняват от компанията.
The recently reported breach of #SFO airport websites is in line with the TTPs of an APT group known as Dragonfly/Energetic Bear. The intent was to collect Windows credentials (username/NTLM hash) of visitors by exploiting an SMB feature and the file:// prefix #ESETresearch 1/2 pic.twitter.com/pDZMdb49lb
— ESET research (@ESETresearch) April 14, 2020
NTLM хашове могат релативно елементарно да бъдат разшифровани (кракнати) за да се извлекат Windows пароли. Ако хакерите са проникнали във вътрешните мрежи на летището, те биха могли елементарно да се възползват от извлечените пароли за достъп и доста да разширят обсега на дейностите си в насоки като разузнаване, кражба на данни или даже бойкот на сериозни инфраструктури.
От ESET декларират, че офанзивите са изпълнени от хакерска група, която оперира под псевдонима Energetic Bear (също познати като DragonFly). Групата е дейна от 2010 година и за нея се твърди, че е ръководена директно от съветското държавно управление.
След като разкрили употребените техники от Energetic Bear за навлизане в уебсайтовете, специалистите на антивирусната компания неотложно уведомили ИТ отдела на летището, който навреме отстранил злонамерения код.
Освен това от летището в Сан Франциско декларират, че като спомагателна мярка за сигурност, са били изменени всички пароли за достъп, което е задоволителна мярка за попречване на бъдещо прилагане на откраднати NTLM хашове.
Уебсайтове на летището в Сан Франциско паднаха жертва на хакери
(снимка: CC0 Public Domain)
Х акерската група Energetic Bear, ръководена от съветското държавно управление – съгласно компанията за сигурност ESET – е виновна за хакването на уеб уеб страниците на интернационалното летище в Сан Франциско.
Атаката против уеб страниците е осъществена в края на предишния месец, съгласно публична информация, оповестена на уебстраницата на летището. Основната цел на хакерите са били sfoconnect.com – уеб страница, който е наличен единствено за работещия на летището личен състав, и sfoconstruction.com – портал, употребен извънредно от строителни бизнесмени и сътрудници.
Според изказване на публични представители на летището, откакто са пробили сигурността на двата уеб страницата, хакерите са съумели да прикачат спомагателен код от вид експлойт, който се възползва от бъг в браузъра Internet Explorer на Microsoft, и краде потребителски имена и пароли за достъп на потребителите.
Но от екипа за кибер сигурност на ESET са на друго мнение: „ Желанието на хакерите е било да уловят потребителски имена и пароли за Windows (NTLM хаш) от посетителите и потребителите на двата уеб страницата посредством експлойт на SMB протокола и file:// префикса ”, разясняват от компанията.
The recently reported breach of #SFO airport websites is in line with the TTPs of an APT group known as Dragonfly/Energetic Bear. The intent was to collect Windows credentials (username/NTLM hash) of visitors by exploiting an SMB feature and the file:// prefix #ESETresearch 1/2 pic.twitter.com/pDZMdb49lb
— ESET research (@ESETresearch) April 14, 2020
NTLM хашове могат релативно елементарно да бъдат разшифровани (кракнати) за да се извлекат Windows пароли. Ако хакерите са проникнали във вътрешните мрежи на летището, те биха могли елементарно да се възползват от извлечените пароли за достъп и доста да разширят обсега на дейностите си в насоки като разузнаване, кражба на данни или даже бойкот на сериозни инфраструктури.
От ESET декларират, че офанзивите са изпълнени от хакерска група, която оперира под псевдонима Energetic Bear (също познати като DragonFly). Групата е дейна от 2010 година и за нея се твърди, че е ръководена директно от съветското държавно управление.
След като разкрили употребените техники от Energetic Bear за навлизане в уебсайтовете, специалистите на антивирусната компания неотложно уведомили ИТ отдела на летището, който навреме отстранил злонамерения код.
Освен това от летището в Сан Франциско декларират, че като спомагателна мярка за сигурност, са били изменени всички пароли за достъп, което е задоволителна мярка за попречване на бъдещо прилагане на откраднати NTLM хашове.
Източник: technews.bg
КОМЕНТАРИ