Compromessi due siti dell’aeroporto di San Francisco per rubare password al personale, forse i russi dietro l’operazione

La direzione dell’Aeroporto Internazionale di San Francisco ha confermato che due dei suoi siti web sono stati compromessi durante il mese di marzo nel contesto di un’azione criminale volta a rubare password e dati di accesso del personale e dei contrattisti.

L’aeroporto ha confermato la violazione in un comunicato emesso il 7 aprile che i siti SFOConnect.com e SFOConstruction.com sono stati “bersagli di cyberattacchi” dove gli hacker hanno “inserito codice dannoso per rubare le credenziali di alcuni utenti”. Queste credenziali se usate impropriamente ptorebbero consentire l’accesso alla rete dell’aeroporto.

Nel comunicato si legge inoltre: “Gli utenti che possono essere stati colpiti da questo attacco comprendono quelli che accedono ai siti da un sistema al di fuori della rete dell’aeroporto tramite Internet Explorer o tramite un dispositivo personale basato su Windows, o da un dispositivo non gestito dall’aeroporto”.

L’aeroporto ha provveduto a mettere offline i due siti web, che ricordiamo sono dedicati esclusivamente allo staff, e hanno disposto un reset obbligato delle password lo scorso 23 marzo. I siti sono ora pienamente operativi. Attualmente non è dato sapere se vi fossero misure di sicurezza aggiuntive, come ad esempio l’autenticazione multi-fattore, per prevenire una violazione di rete.

Torna sulle scene una vecchia conoscenza: DragonFly, ora Energetic Bear

La società di sicurezza ESET ha però precisato che l’obiettivo dell’azione criminale non sarebbero le credenziali dei due siti web compromessi, ma le credenziali Windows dei visitatori dei siti. “Lo scopo era quello di raccogliere credenziali Windows (username/NTLM hash) dei visitatori sfruttando una funzionalità SMB e il prefisso file://” afferma ESET.

Gli hash NTLM possono essere facilmente violati per ottenere una versione in testo semplice della password Windows di un utente. In questo modo con l’eventuale accesso alla rete interna dell’aeroporto i criminali avrebbero potuto usare le credenziali degli impiegati per diffondersi orizzontalmente sulla rete e condurre vari tipi di attività, dal furto di informazioni al sabotaggio.

ESET inoltre riconduce gli attacchi ad una vecchia conoscenza, un attore di minaccia conosciuto come Energetic Bear (ma anche DragonFly), un gruppo attivo già dal 2010 e che si pensa sia al soldo del governo Russo. Si tratta di un collettivo particolarmente attivo, che negli ultimi dieci anni ha preso di mira svariate realtà in tutto il mondo, concentrandosi in particolare sul settore energetico (da qui il nome) situate nel Medio Oriente, negli USA e in Turchia.

Più di recente, come osservato anche da Kaspersky nel 2018, Energetic Bear avrebbe cambiato tipo di bersagli, rivolgendo il proprio sguardo a società del settore aerospaziale e dell’aviazione. E sempre Kaspersky aveva notato come il gruppo avese già sfruttato la stessa tecnica per ottenere gli hash NTLM dei visitatori di un sito web compromesso.

A caccia di dati personali, per campagne malware mirate e furto d’identità

Quanto accaduto è una pratica purtroppo abbastanza diffusa nel mondo criminale che opera sul web: sono bersagli particolarmente appetitosi infatti quelli che possono consentire di ottenere un grande volume di informazioni sensibili di individui, magari completi anche di numeri di carte di credito oltre che dati anagrafici e di contatto. Grandi archivi di queste informazioni possono poi essere rivendute sul dark web o sfruttate per lanciare campagne di malware mirate o ancora per mettere in atto tentativi di furto d’identità a vari scopi.

E’ recente, per restare in tema, il caso della catena alberghiera Marriott che è stata vittima di un incidente che ha causato la sottrazione dei dati di 5 milioni di clienti. Perr rimanere invece nell’ambito dell’aviazione civile vale la pena ricordare la violazione subita da British Airways nel 2018 con il furto di circa 500 mila numeri di carte di credito dei clienti. Un incidente che è costato alla compagnia aerea una multa di oltre 200 milioni di euro – la più grande mai inflitta in Europa a causa di una violazione di dati – in ottemperanza alle allora nuove leggi GDPR.

Sorgente articolo:
Compromessi due siti dell’aeroporto di San Francisco per rubare password al personale, forse i russi dietro l’operazione

User ID Campaign ID Link
d9a95efa0a2845057476957a427b0499 l-99999997 Video Corsi Online
d9a95efa0a2845057476957a427b0499 l-99999987 Il tuo Sito Web Personalizzato
d9a95efa0a2845057476957a427b0499 l-99999990 Ecommerce Tecnologia
d9a95efa0a2845057476957a427b0499 l-99999988 Pubblicizza sito