به گزارش کارگروه بینالملل سایبربان؛ کارشناسان شرکت امنیتی ایست (ESET) با انتشار گزارشی اعلام کردند یک گروه هکری روس عامل حمله به فرودگاه بینالمللی سانفرانسیسکو در ماه مارس بوده و از پروتکل SMB برای سرقت پسوردهای ویندوز استفاده کرده است.
مقامات فرودگاه بینالمللی سانفرانسیسکو در خصوص این حمله اعلام کردهاند 2 وبگاه مرتبط با این فرودگاه از ماه مارس 2020 مورد نفوذ واقعشدهاند. در این حمله مهاجمان موفق شدهاند اعتبارنامههای ورود به دستگاهها را سرقت کنند. این کار از طریق کاربران مراجعهکننده به وبگاهها انجامگرفته است.
وبگاههایی که موردتهاجم قرارگرفتهاند به ترتیب «SFOConnect» و «SFOConstruction نام دارند که اولی شامل اطلاعات کارکنان فرودگاه بوده و دومی جزئیات پروژههای ساخت فرودگاه، پیشنهادها و قراردادها را نگهداری میکرده است.
طبق گفته مقامات فرودگاه، حادثه مذکور احتمالاً از طریق افرادی که با اینترنت اکسپلورر به وبگاهها دسترسی داشتهاند یا از ابزارهای ویندوزی ارائه نشده توسط فرودگاه بهره میگرفتهاند، رخداده است.
کارشناسان شرکت ایست اعلام کردهاند مهاجمان دو وبگاه یادشده را هک کرده و با استفاده از جاوا اسکریپت تصاویر 1x1 به کد سایتها تزریق کردهاند. آنها با استفاده از دستورات «file://» اقدام به بارگیری تصاویر از سایت شخص ثالث کردهاند. زمانی که مرورگر کاربر سعی داشته سایت را از مسیر«file://» باز کند، پروتکل SMB به این فرآیند وصل شده است.
چنانچه ویندوز از تنظیمات پیشفرض استفاده میکرد، هنگام احراز هویت «NTLM»، نام حساب کاربری و پسورد هش شده ارسال میشدند. بهاینترتیب مهاجم میتوانست اسنیفر شبکه و سایر برنامهها را راهاندازی کند تا اعتبارنامههای ارسالی را هایجک کند.
کارشناسان ایست مدعی شدند چنین حملاتی شباهت بسیاری به روشهای گروه هکری «Dragonfly» دارند که به «Energetic Bear» نیز شهرت دارد و متعلق به روسیه است.
