Названы подозреваемые в атаках на сайты аэропорта Сан-Франциско
По данным специалистов ESET, за недавними взломами двух сайтов аэропорта Сан-Франциско может стоять APT-группа Energetic Bear, также известная как DragonFly.
Как сообщили исследователи в серии твитов, использовавшиеся в кибератаках тактики, техники и процедуры (TTP) совпадают с TTP хакеров из Energetic Bear. Целью злоумышленников было похищение учетных данных пользователей (имен пользователей/NTLM-хэша), посещавших сайты аэропорта Сан-Франциско. При этом хакеров интересовали не учетные данные для авторизации на взломанных сайтах, а учетные данные Windows, которые они пытались похитить путем эксплуатации функции SMB и префикса file://.
«Вопреки сообщениям нескольких человек, специалисты ESETresearch выяснили, что атака никак не связана с похитителями учетных данных Magecart», — сообщили исследователи.
По словам специалиста ESET Матье Фау (Matthieu Faou), тактики, техники и процедуры Energetic Bear мог скопировать кто-то еще, и нельзя быть на 100% уверенными в том, что атаки на сайты аэропорта Сан-Франциско действительно осуществила эта группировка.
Исследователи уведомили руководство аэропорта о взломе в марте нынешнего года, и уязвимости были исправлены.
Energetic Bear активна по меньшей мере с 2010 года. В основном она атакует компании в энергетическом и промышленном секторах по всему миру, но больше всего на Среднем Востоке, в Турции и США.
Обсуждения закрыты для данной страницы