
Imagen vía Robert Bye en Unsplash
Los piratas informáticos que se cree que operan en nombre del gobierno ruso han pirateado dos sitios web operados por el Aeropuerto Internacional de San Francisco, dijo hoy la firma de seguridad cibernética ESET.
Los ataques ocurrieron el mes pasado, en marzo, según una notificación de violación de datos (PDF) publicado en el sitio web del aeropuerto.
Los ataques dirigidos SFOConnect.com, un sitio internet utilizado por los empleados del aeropuerto, y SFOConstruction.com, un portal utilizado por los contratistas de construcción del aeropuerto.
Según los funcionarios del aeropuerto de San Francisco, los piratas informáticos violaron ambos sitios internet y plantaron código que explotó un error de World-wide-web Explorer para robar credenciales de inicio de sesión.
Pero en una serie de tweets de hoy, ESET dijo que «la información específica NO era las credenciales del visitante a los sitios world wide web comprometidos, sino las credenciales de Home windows del visitante».
«La intención era recopilar las credenciales de Windows (nombre de usuario / hash NTLM) de los visitantes mediante la explotación de una función SMB y el prefijo file: //», dijo el equipo de investigación de ESET.
Los hash NTLM se pueden descifrar para obtener una versión de texto sin cifrar de la contraseña de Home windows de un usuario. Si los piratas informáticos tuvieran acceso a la purple interna del aeropuerto, podrían haber utilizado las credenciales obtenidas de los empleados del aeropuerto para extenderse lateralmente a través de la purple interna del aeropuerto para realizar el reconocimiento, el robo de datos o el sabotaje.
Enlaces de ESET piratean a Oso Energético
ESET dijo que el ataque fue realizado por un actor de amenaza conocido como Oso enérgico (también conocido como DragonFly). El grupo ha estado activo desde 2010 y se cree que opera en nombre del gobierno ruso.
El grupo es una de las entidades patrocinadas por el estado más activas de Rusia. Durante la última década, los piratas informáticos de Energetic Bear han estado detrás de una campaña de piratería generalizada dirigida a organizaciones de todo el mundo.
Los objetivos principales del grupo han sido las organizaciones en el sector de la energía, de ahí su nombre de Oso Energético, principalmente aquellas ubicadas en el Medio Oriente, Turquía y los Estados Unidos.
Sin embargo, Energetic Bear también recientemente comenzó a apuntar a otros tipos de organizaciones, incluidas las empresas del sector aeroespacial y de la aviación, según un informe publicado por Kaspersky en abril de 2018, y un alerta enviada en ese momento por el Departamento de Seguridad Nacional de EE. UU..
De hecho, el mismo informe de Kaspersky detalla una serie de ataques de pozos de agua llevado a cabo por Oso Energético que usó el mismo «file: // prefijo«truco para obtener hash NTLM de los usuarios que visitan un sitio world-wide-web comprometido.
La violación recientemente reportada de #SFO los sitios internet del aeropuerto están en línea con los TTP de un grupo APT conocido como Dragonfly / Energetic Bear. La intención period recopilar las credenciales de Windows (nombre de usuario / hash NTLM) de los visitantes explotando una función SMB y el archivo: // prefijo #ESETresearch 1/2 pic.twitter.com/pDZMdb49lb
– Investigación de ESET (@ESETresearch) 14 de abril de 2020
«Esta técnica ha sido utilizada durante años por Energetic Bear / DragonFly», dijo Matthieu Faou, investigador de malware en ESET. ZDNet en una entrevista hoy.
También le pedimos a Faou que ampliara los tweets de la compañía y le preguntamos si este truco es parte de una nueva campaña dirigida al sector de la aviación de los EE. UU.
«No tenemos ninguna información sobre el compromiso de otro sitio web del aeropuerto», nos dijo Faou. «Según la telemetría de ESET, los otros sitios world-wide-web que se vieron comprometidos recientemente son principalmente sitios world wide web de medios en Europa del Este».
El aeropuerto de San Francisco restablece todas las contraseñas de los empleados
Faou dijo que cuando detectaron nuevamente la técnica que se estaba utilizando en la naturaleza, «lo informaron de inmediato al equipo del aeropuerto de la OFS» que «eliminó rápidamente el código malicioso de su sitio world-wide-web».
Funcionarios del aeropuerto que luego forzaron restablecimientos de contraseña para «todas las contraseñas de red y correo electrónico relacionadas con la OFS el lunes 23 de marzo de 2020».
El restablecimiento de contraseña es suficiente para evitar que los piratas informáticos utilicen los hashes NTLM robados para futuras intrusiones.
Sin embargo, los dos sitios website también fueron utilizados por otros usuarios que no eran empleados del aeropuerto. A través de su anuncio de violación de seguridad pública, el aeropuerto de San Francisco ahora está instando a los usuarios que recientemente visitaron el sitio a tomar medidas similares y restablecer sus contraseñas de Windows.