Сайты аэропорта Сан-Франциско взломали российские хакеры
Специалисты антивирусной компании ESET считают, что за взломом сайтов, принадлежащих международному аэропорту Сан-Франциско, стоит российская киберпреступная группа, использовавшая протокол SMB для кражи паролей Windows.
Сам инцидент произошел в марте 2020 года, сообщает "Anti-Malware". Основной задачей злоумышленников была кража паролей от учетных записей Windows, принадлежащих сотрудникам аэропорта.
Спустя месяц эксперты из ESET предоставили подробности киберинцидента. По их словам, атакующие взломали два веб-ресурса - SFOConnect.com и SFOConstruction.com, - после чего добавили JavaScript, реализующий инъекцию изображения размером 1×1 в код сайтов.
Команду "file://" преступники использовали для загрузки изображения со стороннего сайта. Когда браузер пользователя пытался открыть источник по пути file://, к этому процессу подключался протокол SMB.
Если Windows использовала настройки по умолчанию, имя учетной записи и хешированный пароль отправлялись в ходе NTLM-аутентификации. Таким образом, атакующий мог задействовать сетевой сниффер или другие программы, чтобы перехватить передаваемые учетные данные.
Команда исследователей ESET заявила, что эти атаки очень напоминает методы киберпреступной группировки, которую связывают с российским правительством. Сообществу эта группа известна под именами Dragonfly и Energetic Bear.
