Хакерската група Energetic Bear, управлявана от руското правителство – според компанията за сигурност ESET – е отговорна за хакването на уеб сайтовете на международното летище в Сан Франциско.
Атаката срещу сайтовете е осъществена в края на миналия месец, според официална информация, публикувана на уебстраницата на летището. Основната цел на хакерите са били sfoconnect.com – уебсайт, който е достъпен само за работещия на летището персонал, и sfoconstruction.com – портал, ползван ексклузивно от строителни предприемачи и сътрудници.
Според изявление на официални представители на летището, след като са пробили сигурността на двата уебсайта, хакерите са успели да прикачат допълнителен код от тип експлойт, който се възползва от бъг в браузъра Internet Explorer на Microsoft, и краде потребителски имена и пароли за достъп на потребителите.
Но от екипа за кибер сигурност на ESET са на различно мнение: „Желанието на хакерите е било да уловят потребителски имена и пароли за Windows (NTLM хаш) от посетителите и потребителите на двата уеб сайта чрез експлойт на SMB протокола и file:// префикса”, коментират от компанията.
The recently reported breach of #SFO airport websites is in line with the TTPs of an APT group known as Dragonfly/Energetic Bear. The intent was to collect Windows credentials (username/NTLM hash) of visitors by exploiting an SMB feature and the file:// prefix #ESETresearch 1/2 pic.twitter.com/pDZMdb49lb
— ESET research (@ESETresearch) April 14, 2020
NTLM хашове могат относително лесно да бъдат разшифровани (кракнати) с цел да се извлекат Windows пароли. Ако хакерите са проникнали във вътрешните мрежи на летището, те биха могли лесно да се възползват от извлечените пароли за достъп и значително да разширят обхвата на действията си в насоки като разузнаване, кражба на данни или дори саботаж на критични инфраструктури.
От ESET заявяват, че атаките са изпълнени от хакерска група, която оперира под псевдонима Energetic Bear (също познати като DragonFly). Групата е активна от 2010 година и за нея се твърди, че е управлявана пряко от руското правителство.
След като открили ползваните техники от Energetic Bear за проникване в уебсайтовете, експертите на антивирусната компания незабавно уведомили ИТ отдела на летището, който своевременно отстранил злонамерения код.
Освен това от летището в Сан Франциско заявяват, че като допълнителна мярка за сигурност, са били променени всички пароли за достъп, което е достатъчна мярка за предотвратяване на бъдещо ползване на откраднати NTLM хашове.
😀 а ти освен код да си чувал за дигитален отпечатък?
– Лог файлове по мрежови устройства (рутери, управляеми суйчове, файърволи т.н.т)
– Лог файлове по самите сървъри (бази от данни, уеб сървъри, лоуд балансери т.н.т)
– Лог файлове по доставчици на интернет
– Системи за защита в реално време (уеб файърволи, IDS/IPS, Антивирусни и Антималуер програми)
– Допълнителни системи за защита разработени по спецификации на самото летище
А относно ботнетове явно и хабер си нямаш. Те са относително лесни за проследяване. Като ограничение от тяхното състояние на дистрибуирана система.
В крайна сметка която и да е хакерска атака оставя в повечето случай доста широк дигитален отпечатък достатъчен да се свърже с някоя от известните групи. Който обикновенно даже и хич не им пука че ще ги засекат някакви си американци. Още повече че даже и пускат Tweets, Facebook постове и тям подобни след като са атакували…
Оставям ви с тема за размисъл…
Бре, бре, бре!
Явно всички руски/китайски хакери са под управлението на руското/китайското правителство.
Принципно, би трябвало да са част от службите – ФСБ / Министерство на Държавната Сигурност – но явно Щатите са под постоянна атака от личните хакери на Путин и Си Дзинпин.
Интересно, че тия хакери до един са куци и сакати и не могат да си прикриват следите!
Винаги ползват типичен за тях код, защото е “изключително сложно” кодът да бъде преправен така, че да не е в разпознаваем стил, а най-вероятно компилираният код им е в debug mode, за да съдържа максимално много допълнителна информация в услуга на ESET / АНС / ФБР / ЦРУ.
Иначе, кодът в туита е толкова стандартен и с нищо специален, че няма никакъв шанс по него да се определи нападателят.
Подозирам, че и останалият код е също толкова “специален”, особено като мине през компилация (и евентуално обфускация) – съвременните компилатори (gcc и clang) оптимизират в такава степен, че трудно ще ме убедят, че може ясно да се разпознае стил.
Проследимостта на сървърите също е подозрителна, предвид че такива групи ползват ботнет мрежи, други заразени сървъри и облачни услуги, които дават ресурси срещу една кредитна карта и нищо друго.
Въобще, излиза, че тия “руски” хакери хем много разбират, хем нищо не разбират …
А, бдителен е Българин-а.
В света всички хакери са само руски.
Руски хакери направили поразия. А, това не може да бъде. Такова нещо никога не се е случвало.
Това пак са соросиодни лъжи.