Аналитики компании ESET сообщают, что русскоязычная хакерская группа Energetic Bear (она же DragonFly), взломала два сайта, принадлежащих международному аэропорту Сан-Франциско.
Судя по опубликованной представителями аэропорта информации, компрометация произошла в марте текущего года и затронула сразу два ресурса. Так, атаки злоумышленников были направлены на сайт SFOConnect.com, которым пользуются сотрудники аэропорта, а также на сайт SFOConstruction.com, использующийся строительными подрядчиками воздушной гавани. Сообщалось, что в обоих случаях злоумышленники взломали ресурсы и внедрили на них вредоносный код, который эксплуатировал уязвимость в Internet Explorer для кражи учетных данных.
Однако аналитики ESET пишут, что целью злоумышленников являлись не учетные данные посетителей скомпрометированных сайтов, но учетные данные пользователей Windows.
The recently reported breach of #SFO airport websites is in line with the TTPs of an APT group known as Dragonfly/Energetic Bear. The intent was to collect Windows credentials (username/NTLM hash) of visitors by exploiting an SMB feature and the file:// prefix #ESETresearch 1/2 pic.twitter.com/pDZMdb49lb
— ESET research (@ESETresearch) April 14, 2020
«Цель заключалась в том, чтобы собрать учетные данные Windows (имя пользователя, хеш NTLM), эксплуатируя функциональность SMB и префикс file://», — говорят исследователи.
Как известно, хеш NTLM можно взломать, чтобы в итоге получить пароль пользователя Windows в формате простого текста. То есть если бы хакеры имели доступ к внутренней сети аэропорта, они могли бы использовать эти учетные данные, похищенные у сотрудников, для бокового перемещения по внутренней сети, последующего проведения разведки, кражи данных или осуществления саботажа.
После инцидента сотрудники аэропорта принудительно сбросили все почтовые и сетевые пароли, связанные с SFO, так что похищенные хеши NTLM будут бесполезны для атак. Но оба сайта использовались и другими пользователями, которые не были сотрудниками аэропорта. Теперь их призывают тоже подумать о безопасности и срочно поменять пароли.
По мнению аналитиков ESET, за этими атаками стоит русскоязычная правительственная группировка Energetic Bear (она же DragonFly, Crouching Yeti), активная с 2010 года. Основными целями группы обычно являются организации в энергетическом секторе (отсюда происходит название Energetic Bear), расположенные на Ближнем Востоке, в Турции и США. Однако в последние годы группировка также атакует и другие цели, например, компании в аэрокосмической и авиационной отрасли.
Так, в отчете «Лаборатории Касперского» от 2018 года описаны watering hole атаки Energetic Bear, которые использовали тот же трюк с префиксом file:// для получения хешей NTLM от пользователей, посещающих взломанный сайт. Специалисты ESET подчеркивают, что данный метод атак используется группой уже много лет.
Комментируя инцидент изданию ZDNet, исследователи ESET рассказали, что другими целями хакеров в последнее время были медиасайты в Восточной Европе.