美国旧金山机场被网络攻击,幕后真凶指向俄罗斯
能看见上面那个专辑分类吗,感兴趣可以点进去看看文章合集
旧金山国际机场是世界级的高水准机场,每年承载游客5000万人次。从这里可以飞往北美各地以及全世界各个城市。
凭借独特的设施、顾客服务以及娱乐项目,旧金山国际机场被全球旅行者评为业内最好的机场。在2015年,旧金山国际机场被《Frequent Business Traveler》杂志评为美国最佳机场,同时全球知名的评论网站Skytrax将旧金山国际机场评为北美最优质客服机场。
然而,这家最佳机场,在4月7日贴出告示称,
SFOConnect.com和SFOConstruction.com在2020年3月被网络攻击,网站被插入恶意代码用于窃取某些用户的登陆凭据,目前已知有人访问过该网站已经通知更改密码。
邮箱get(跑题了)
marcom@flysfo.com
就在众人纷纷猜测谁敢干出如此"英勇"之事时,来自斯洛伐克布拉迪斯拉的ESET公司给出了答案。
其称元凶便是:著名的APT组织Dragonfly(蜻蜓),又名Energetic Bear(活力熊),据美国称是来自俄罗斯的网军。
ESET给出的理由是,攻击者植入到网站的代码和攻击方式和此前Dragonfly的TTP一致。
如下图所示,该段代码目的是通过SMB共享目录的方式收集访问者的Windows凭据(用户名/NTLM哈希),ESET恶意软件研究员Matthieu Faou称DragonFly已经使用这种通过file://的获取手法多年。
file://51.159.28.101/icon.png
黑鸟通过查看卡巴斯基2018年的报告,发现确实手法类似,同样是通过水坑进行攻击。
参考链接:
https://securelist.com/energetic-bear-crouching-yeti/85345/
建议国内也可以进行类似的规则下发和查询。
ESET在后续补充道,本次攻击和著名黑产组织MageCart没有关联,主要在于攻击者不是为了获取访问者访问被攻击网站的账号密码,而是为了获取访问者本身的Windows凭据。
基于此,他们怀疑该组织是否正在对全美的机场进行类似的攻击,因此打算扩大搜查面积。
Dragonfly组织至少从2011年起非常活跃,当时它主要攻击美国和加拿大国防和航空公司,而在2013年初将精力集中在美国和欧洲的能源公司上。
2014年,赛门铁克的安全专家发现了一个针对美国,意大利,法国,西班牙,德国,土耳其和波兰的组织的新活动。
蜻蜓进行了一次网络间谍活动,主要攻击了电网运营商,主要的发电公司,石油管道运营商和能源行业的工业设备提供商。
根据美国国土安全部发布的JAR报告,蜻蜓是与政府有联系的俄罗斯APT网军。
暗示性推荐
↓鸟小号可关注
有趣推荐
疫情专辑(点下面文章开头)
网络战专辑(点下面文章开头)
点个赞,转个发,祖国建设靠大家