Los investigadores afirman que los piratas informáticos rusos están detrás del hackeo del aeropuerto de la OFS

Después de las investigaciones de los investigadores de ESET, se determinó que los piratas informáticos detrás de los sitios web del Aeropuerto Internacional de San Francisco informados la semana pasada eran oso enérgico. Se afirma que este es un grupo apoyado por el estado ruso, también conocido como DragonFly.

Los investigadores dicen que la verdadera intención del hack no era robar credenciales, sino credenciales de Windows como Nombres de usuario y hashes de NTLM. Esto es a través de la exploración de Recurso SMB y archivo: // prefijo. El objetivo final era obtener acceso a toda la red comprometiendo una de las credenciales del empleado.

Hackeo del aeropuerto de San Francisco
Hackeo del aeropuerto de San Francisco

De la energía a la aviación – Energy Bear

El Aeropuerto Internacional de San Francisco es el más grande del Área de la Bahía, con vuelos internacionales a docenas de países. La gerencia del aeropuerto informó que se produjo una violación de seguridad en dos de sus sitios web subsidiarios, SFOConnect y SFOConstrucción. Mientras que el primero se utilizó para los empleados, los últimos se dedicaron a los contratistas de la construcción. Las dos fueron violadas el 23 de marzo de este año, pero el aeropuerto informó del incidente la semana pasada.

Ahora, el análisis de los investigadores de ESET revela que el ataque estaba vinculado a grupos rusos respaldados por el estado, Energetic Bear o DragonFly. Esto ha estado activo desde 2010 y ha afectado principalmente a las empresas de energía. Recientemente, incluso se está expandiendo a los sectores de la aviación y aeroespacial. Una métrica que llevó a los investigadores de ESET a vincular esta brecha con Energetic Bear fue la intención de obtener credenciales NTLM.

¿Busca sabotear la red?

El truco, que el aeropuerto informó anteriormente para robar las credenciales de los visitantes, en realidad es para robar las credenciales de los empleados de Windows, como sus nombres de usuario y hash NTLM. Esto se hizo aprovechando la función SMB y el prefijo file: // de Internet Explorer. El objetivo final aquí es descifrar los hash NTLM y obtener contraseñas claras, por lo que obtener acceso a la red interna del aeropuerto permitirá al pirata informático propagarse a otras áreas y sabotear completamente la red.

A partir de ahora, el aeropuerto ha afirmado que está eliminando el código malicioso detectado en estos dos sitios e incluso obligando a restablecer las contraseñas de la red. Además, incluso sugirió que aquellos que iniciaron sesión en estos dos sitios recientemente cambien sus contraseñas por si acaso.

A través de la: ZDNet