هکرهای روس، متهمان حمله به فرودگاه سانفرانسیسکو

یک شرکت امنیتی هکرهای روس را عامل حملات سایبری اخیر به فرودگاه سانفرانسیسکو معرفی کرد.

کارشناسان شرکت امنیتی ایست (ESET) با انتشار گزارشی اعلام کردند یک گروه هکری روس عامل حمله به فرودگاه بین‌المللی سانفرانسیسکو در ماه مارس بوده و از پروتکل SMB برای سرقت پسوردهای ویندوز استفاده کرده است.

مقامات فرودگاه بین‌المللی سانفرانسیسکو در خصوص این حمله اعلام کرده‌اند 2 وبگاه مرتبط با این فرودگاه از ماه مارس 2020 مورد نفوذ واقع‌شده‌اند. در این حمله مهاجمان موفق شده‌اند اعتبارنامه‌های ورود به دستگاه‌ها را سرقت کنند. این کار از طریق کاربران مراجعه‌کننده به وبگاه‌ها انجام‌گرفته است.

وبگاه‌هایی که موردتهاجم قرارگرفته‌اند به ترتیب «SFOConnect» و «SFOConstruction نام دارند که اولی شامل اطلاعات کارکنان فرودگاه بوده و دومی جزئیات پروژه‌های ساخت فرودگاه، پیشنهادها و قراردادها را نگهداری می‌کرده است.

طبق گفته مقامات فرودگاه، حادثه مذکور احتمالاً از طریق افرادی که با اینترنت اکسپلورر به وبگاه‌ها دسترسی داشته‌اند یا از ابزارهای ویندوزی ارائه نشده توسط فرودگاه بهره می‌گرفته‌اند، رخ‌داده است.

کارشناسان شرکت ایست اعلام کرده‌اند مهاجمان دو وبگاه یادشده را هک کرده و با استفاده از جاوا اسکریپت تصاویر 1x1 به کد سایت‌ها تزریق کرده‌اند. آن‌ها با استفاده از دستورات «file://» اقدام به بارگیری تصاویر از سایت شخص ثالث کرده‌اند. زمانی که مرورگر کاربر سعی داشته سایت را از مسیر«file://» باز کند، پروتکل SMB به این فرآیند وصل شده است.

چنانچه ویندوز از تنظیمات پیش‌فرض استفاده می‌کرد، هنگام احراز هویت «NTLM»، نام حساب کاربری و پسورد هش شده ارسال می‌شدند. به‌این‌ترتیب مهاجم می‌توانست اسنیفر شبکه و سایر برنامه‌ها را راه‌اندازی کند تا اعتبارنامه‌های ارسالی را های‌جک کند.

کارشناسان ایست مدعی شدند چنین حملاتی شباهت بسیاری به روش‌های گروه هکری «Dragonfly» دارند که به «Energetic Bear» نیز شهرت دارد و متعلق به روسیه است.