Aeroportul Internațional din San Francisco, vizat de un atac cibernetic comis de hackeri cu legături cu autoritățile ruse
Aeroportul Internațional din San Francisco, al șaselea cel mai aglomerat aeroport din Statele Unite, a anunțat recent că hackerii necunoscuți au reușit să pirateze două site-uri destinate angajaților aeroportului și ar fi sustras date de autentificare la sistemul de operare Windows.
Potrivit companiei de cibersecuritate ESET, modul de operare este tipic unui grup de hackeri ruși, cunoscut drept Energetic Bear sau DragonFly APT. Grupul, activ din 2010, se crede că are legături cu autoritățile ruse, relatează site-ul SecurityOpenLab.
The recently reported breach of #SFO airport websites is in line with the TTPs of an APT group known as Dragonfly/Energetic Bear. The intent was to collect Windows credentials (username/NTLM hash) of visitors by exploiting an SMB feature and the file:// prefix #ESETresearch 1/2 pic.twitter.com/pDZMdb49lb
— ESET research (@ESETresearch) April 14, 2020
De-a lungul anilor, potrivit Kaspersky, grupul a efectuat atacuri asupra companiilor de energie din SUA și Europa, iar Symantec a indicat că hackerii din acest grup au atacat și sectorul aerospațial.
Potrivit informațiilor relatate de portalul Bleeping Computer, cele două site-uri – SFOConnect.com and SFOConstruction.com – au fost atacat în luna martie. Hackerii au injectat coduri malware în site-uri pentru a “fura datele de autentificare” la calculatoarele personale ale unor utilizatori.
Este de notat că hackerii nu au fost interesați să fure datele de autentificare la cele două site-uri, ci cele de autentificare la sistemul de operare Windows, ce le-ar fi permis să afle și alte date confidențiale din calculatoarele personale ale angajaților aeroportului.
Utilizatorii afectați de atacul cibernetic au fost cei care “accesează aceste site-uri din afara rețelei aeroportului cu ajutorul Internet Explorer de pe un dispozitiv personal cu Windows sau de pe un dispozitiv care nu este întreținut de SFO“, au anunțat reprezentanții aeroportului.
Funcționarea site-urilor au fost suspendată, iar codul malware a fost eliminat, se mai arată în comunicatul aeroportului.