Piratas informáticos estatales rusos detrás del ataque del aeropuerto de San Francisco


sfo.jpg

Imagen vía Robert Bye en Unsplash

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

Los piratas informáticos que se cree que operan en nombre del gobierno ruso han pirateado dos sitios web operados por el Aeropuerto Internacional de San Francisco, dijo hoy la firma de seguridad cibernética ESET.

Los ataques ocurrieron el mes pasado, en marzo, según una notificación de violación de datos (PDF) publicado en el sitio web del aeropuerto.

Los ataques dirigidos SFOConnect.com, un sitio internet utilizado por los empleados del aeropuerto, y SFOConstruction.com, un portal utilizado por los contratistas de construcción del aeropuerto.

Según los funcionarios del aeropuerto de San Francisco, los piratas informáticos violaron ambos sitios internet y plantaron código que explotó un error de World-wide-web Explorer para robar credenciales de inicio de sesión.

Pero en una serie de tweets de hoy, ESET dijo que «la información específica NO era las credenciales del visitante a los sitios world wide web comprometidos, sino las credenciales de Home windows del visitante».

«La intención era recopilar las credenciales de Windows (nombre de usuario / hash NTLM) de los visitantes mediante la explotación de una función SMB y el prefijo file: //», dijo el equipo de investigación de ESET.

Los hash NTLM se pueden descifrar para obtener una versión de texto sin cifrar de la contraseña de Home windows de un usuario. Si los piratas informáticos tuvieran acceso a la purple interna del aeropuerto, podrían haber utilizado las credenciales obtenidas de los empleados del aeropuerto para extenderse lateralmente a través de la purple interna del aeropuerto para realizar el reconocimiento, el robo de datos o el sabotaje.

Enlaces de ESET piratean a Oso Energético

ESET dijo que el ataque fue realizado por un actor de amenaza conocido como Oso enérgico (también conocido como DragonFly). El grupo ha estado activo desde 2010 y se cree que opera en nombre del gobierno ruso.

El grupo es una de las entidades patrocinadas por el estado más activas de Rusia. Durante la última década, los piratas informáticos de Energetic Bear han estado detrás de una campaña de piratería generalizada dirigida a organizaciones de todo el mundo.

Los objetivos principales del grupo han sido las organizaciones en el sector de la energía, de ahí su nombre de Oso Energético, principalmente aquellas ubicadas en el Medio Oriente, Turquía y los Estados Unidos.

Sin embargo, Energetic Bear también recientemente comenzó a apuntar a otros tipos de organizaciones, incluidas las empresas del sector aeroespacial y de la aviación, según un informe publicado por Kaspersky en abril de 2018, y un alerta enviada en ese momento por el Departamento de Seguridad Nacional de EE. UU..

De hecho, el mismo informe de Kaspersky detalla una serie de ataques de pozos de agua llevado a cabo por Oso Energético que usó el mismo «file: // prefijo«truco para obtener hash NTLM de los usuarios que visitan un sitio world-wide-web comprometido.

«Esta técnica ha sido utilizada durante años por Energetic Bear / DragonFly», dijo Matthieu Faou, investigador de malware en ESET. ZDNet en una entrevista hoy.

También le pedimos a Faou que ampliara los tweets de la compañía y le preguntamos si este truco es parte de una nueva campaña dirigida al sector de la aviación de los EE. UU.

«No tenemos ninguna información sobre el compromiso de otro sitio web del aeropuerto», nos dijo Faou. «Según la telemetría de ESET, los otros sitios world-wide-web que se vieron comprometidos recientemente son principalmente sitios world wide web de medios en Europa del Este».

El aeropuerto de San Francisco restablece todas las contraseñas de los empleados

Faou dijo que cuando detectaron nuevamente la técnica que se estaba utilizando en la naturaleza, «lo informaron de inmediato al equipo del aeropuerto de la OFS» que «eliminó rápidamente el código malicioso de su sitio world-wide-web».

Funcionarios del aeropuerto que luego forzaron restablecimientos de contraseña para «todas las contraseñas de red y correo electrónico relacionadas con la OFS el lunes 23 de marzo de 2020».

El restablecimiento de contraseña es suficiente para evitar que los piratas informáticos utilicen los hashes NTLM robados para futuras intrusiones.

Sin embargo, los dos sitios website también fueron utilizados por otros usuarios que no eran empleados del aeropuerto. A través de su anuncio de violación de seguridad pública, el aeropuerto de San Francisco ahora está instando a los usuarios que recientemente visitaron el sitio a tomar medidas similares y restablecer sus contraseñas de Windows.





Enlace a la noticia initial