Compromessi due siti dell'aeroporto di San Francisco per rubare password al personale, forse i russi dietro l'operazione

Compromessi due siti dell'aeroporto di San Francisco per rubare password al personale, forse i russi dietro l'operazione

Due siti web ad uso interno dell'aeroporto di San Francisco sono stati compromessi e sfruttati per rubare password ai dipendenti, con l'obiettivo di violare la rete interna. Ad ora non si sa nulla sugli esiti dell'azione criminale

di pubblicata il , alle 11:21 nel canale Sicurezza
 

La direzione dell'Aeroporto Internazionale di San Francisco ha confermato che due dei suoi siti web sono stati compromessi durante il mese di marzo nel contesto di un'azione criminale volta a rubare password e dati di accesso del personale e dei contrattisti.

L'aeroporto ha confermato la violazione in un comunicato emesso il 7 aprile che i siti SFOConnect.com e SFOConstruction.com sono stati "bersagli di cyberattacchi" dove gli hacker hanno "inserito codice dannoso per rubare le credenziali di alcuni utenti". Queste credenziali se usate impropriamente ptorebbero consentire l'accesso alla rete dell'aeroporto.

Nel comunicato si legge inoltre: "Gli utenti che possono essere stati colpiti da questo attacco comprendono quelli che accedono ai siti da un sistema al di fuori della rete dell'aeroporto tramite Internet Explorer o tramite un dispositivo personale basato su Windows, o da un dispositivo non gestito dall'aeroporto".

L'aeroporto ha provveduto a mettere offline i due siti web, che ricordiamo sono dedicati esclusivamente allo staff, e hanno disposto un reset obbligato delle password lo scorso 23 marzo. I siti sono ora pienamente operativi. Attualmente non è dato sapere se vi fossero misure di sicurezza aggiuntive, come ad esempio l'autenticazione multi-fattore, per prevenire una violazione di rete.

Torna sulle scene una vecchia conoscenza: DragonFly, ora Energetic Bear

La società di sicurezza ESET ha però precisato che l'obiettivo dell'azione criminale non sarebbero le credenziali dei due siti web compromessi, ma le credenziali Windows dei visitatori dei siti. "Lo scopo era quello di raccogliere credenziali Windows (username/NTLM hash) dei visitatori sfruttando una funzionalità SMB e il prefisso file://" afferma ESET.

Gli hash NTLM possono essere facilmente violati per ottenere una versione in testo semplice della password Windows di un utente. In questo modo con l'eventuale accesso alla rete interna dell'aeroporto i criminali avrebbero potuto usare le credenziali degli impiegati per diffondersi orizzontalmente sulla rete e condurre vari tipi di attività, dal furto di informazioni al sabotaggio.

ESET inoltre riconduce gli attacchi ad una vecchia conoscenza, un attore di minaccia conosciuto come Energetic Bear (ma anche DragonFly), un gruppo attivo già dal 2010 e che si pensa sia al soldo del governo Russo. Si tratta di un collettivo particolarmente attivo, che negli ultimi dieci anni ha preso di mira svariate realtà in tutto il mondo, concentrandosi in particolare sul settore energetico (da qui il nome) situate nel Medio Oriente, negli USA e in Turchia.

Più di recente, come osservato anche da Kaspersky nel 2018, Energetic Bear avrebbe cambiato tipo di bersagli, rivolgendo il proprio sguardo a società del settore aerospaziale e dell'aviazione. E sempre Kaspersky aveva notato come il gruppo avese già sfruttato la stessa tecnica per ottenere gli hash NTLM dei visitatori di un sito web compromesso.

A caccia di dati personali, per campagne malware mirate e furto d'identità

Quanto accaduto è una pratica purtroppo abbastanza diffusa nel mondo criminale che opera sul web: sono bersagli particolarmente appetitosi infatti quelli che possono consentire di ottenere un grande volume di informazioni sensibili di individui, magari completi anche di numeri di carte di credito oltre che dati anagrafici e di contatto. Grandi archivi di queste informazioni possono poi essere rivendute sul dark web o sfruttate per lanciare campagne di malware mirate o ancora per mettere in atto tentativi di furto d'identità a vari scopi.

E' recente, per restare in tema, il caso della catena alberghiera Marriott che è stata vittima di un incidente che ha causato la sottrazione dei dati di 5 milioni di clienti. Perr rimanere invece nell'ambito dell'aviazione civile vale la pena ricordare la violazione subita da British Airways nel 2018 con il furto di circa 500 mila numeri di carte di credito dei clienti. Un incidente che è costato alla compagnia aerea una multa di oltre 200 milioni di euro - la più grande mai inflitta in Europa a causa di una violazione di dati - in ottemperanza alle allora nuove leggi GDPR.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Ragerino16 Aprile 2020, 11:50 #1
Immagino che quando gli americani devono fare dei data breach di qualche genere, delocalizzano il lavoro all'estero, magari ai russi. Cosi possono sempre dire che 'sono stati i russi' .
MiKeLezZ16 Aprile 2020, 11:50 #2
"hacker russi" is the new "me l'ha mangiato il cane"
Marko_00116 Aprile 2020, 12:48 #3
no, sicuramente sono i russi anzi :
è stato Putin in persona manovrando Mishustin come un pupo.
oppure come i russi sono i costruttori di missili anti satelliti :
l' A-235 Nudol
o diffusori di fake tipo :
che c'è stato, da poco, un terremoto in provincia di Piacenza del 4.2
o che :
hanno un sistema di guerra elettronica che disattiva le comunicazioni
tra gli usa e l'EU
o che in fondo :
sono loro a diffondere il Covid
-
alcune cose che ho riportato sono vere, altre forse, altre false
Ginopilot16 Aprile 2020, 14:16 #4
Io dico che sicuramente e' colpa dell'OMS.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^