Названы подозреваемые в атаках на сайты аэропорта Сан-Франциско

По данным специалистов ESET, за недавними взломами двух сайтов аэропорта Сан-Франциско может стоять APT-группа Energetic Bear, также известная как DragonFly.

Как сообщили исследователи в серии твитов, использовавшиеся в кибератаках тактики, техники и процедуры (TTP) совпадают с TTP хакеров из Energetic Bear. Целью злоумышленников было похищение учетных данных пользователей (имен пользователей/NTLM-хэша), посещавших сайты аэропорта Сан-Франциско. При этом хакеров интересовали не учетные данные для авторизации на взломанных сайтах, а учетные данные Windows, которые они пытались похитить путем эксплуатации функции SMB и префикса file://.

«Вопреки сообщениям нескольких человек, специалисты ESETresearch выяснили, что атака никак не связана с похитителями учетных данных Magecart», — сообщили исследователи.

По словам специалиста ESET Матье Фау (Matthieu Faou), тактики, техники и процедуры Energetic Bear мог скопировать кто-то еще, и нельзя быть на 100% уверенными в том, что атаки на сайты аэропорта Сан-Франциско действительно осуществила эта группировка.

Исследователи уведомили руководство аэропорта о взломе в марте нынешнего года, и уязвимости были исправлены.

Energetic Bear активна по меньшей мере с 2010 года. В основном она атакует компании в энергетическом и промышленном секторах по всему миру, но больше всего на Среднем Востоке, в Турции и США.

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы