Аналитики компании ESET сообщают, что русскоязычная хакерская группа Energetic Bear (она же DragonFly), взломала два сайта, принадлежащих международному аэропорту Сан-Франциско.

Судя по опубликованной представителями аэропорта информации, компрометация произошла в марте текущего года и затронула сразу два ресурса. Так, атаки злоумышленников были направлены на сайт SFOConnect.com, которым пользуются сотрудники аэропорта, а также на сайт SFOConstruction.com, использующийся строительными подрядчиками воздушной гавани. Сообщалось, что в обоих случаях злоумышленники взломали ресурсы и внедрили на них вредоносный код, который эксплуатировал уязвимость в Internet Explorer для кражи учетных данных.

Однако аналитики ESET пишут, что целью злоумышленников являлись не учетные данные посетителей скомпрометированных сайтов, но учетные данные пользователей Windows.

Как известно, хеш NTLM можно взломать, чтобы в итоге получить пароль пользователя Windows в формате простого текста. То есть если бы хакеры имели доступ к внутренней сети аэропорта, они могли бы использовать эти учетные данные, похищенные у сотрудников, для бокового перемещения по внутренней сети, последующего проведения разведки, кражи данных или осуществления саботажа.

После инцидента сотрудники аэропорта принудительно сбросили все почтовые и сетевые пароли, связанные с SFO, так что похищенные хеши NTLM будут бесполезны для атак. Но оба сайта использовались и другими пользователями, которые не были сотрудниками аэропорта. Теперь их призывают тоже подумать о безопасности и срочно поменять пароли.

По мнению аналитиков ESET, за этими атаками стоит русскоязычная правительственная группировка Energetic Bear (она же DragonFly, Crouching Yeti), активная с 2010 года. Основными целями группы обычно являются организации в энергетическом секторе (отсюда происходит название Energetic Bear), расположенные на Ближнем Востоке, в Турции и США. Однако в последние годы группировка также атакует и другие цели, например, компании в аэрокосмической и авиационной отрасли.

Так, в отчете «Лаборатории Касперского» от 2018 года описаны watering hole атаки Energetic Bear, которые использовали тот же трюк с префиксом file:// для получения хешей NTLM от пользователей, посещающих взломанный сайт. Специалисты ESET подчеркивают, что данный метод атак используется группой уже много лет.

Комментируя инцидент изданию ZDNet, исследователи ESET рассказали, что другими целями хакеров в последнее время были медиасайты в Восточной Европе.

Теги: CSS