Специалисты антивирусной компании ESET считают, что за взломом сайтов, принадлежащих международному аэропорту Сан-Франциско, стоит российская киберпреступная группа, использовавшая протокол SMB для кражи паролей Windows.

Сам инцидент произошёл в марте 2020 года, сообщает «Anti-Malware». Основной задачей злоумышленников была кража паролей от учётных записей Windows, принадлежащих сотрудникам аэропорта.

Спустя месяц эксперты из ESET предоставили подробности киберинцидента. По их словам, атакующие взломали два веб-ресурса — SFOConnect.com и SFOConstruction.com, — после чего добавили JavaScript, реализующий инъекцию изображения размером 1×1 в код сайтов.

Команду «file://» преступники использовали для загрузки изображения со стороннего сайта. Когда браузер пользователя пытался открыть источник по пути file://, к этому процессу подключался протокол SMB.

Если Windows использовала настройки по умолчанию, имя учётной записи и хешированный пароль отправлялись в ходе NTLM-аутентификации. Таким образом, атакующий мог задействовать сетевой сниффер или другие программы, чтобы перехватить передаваемые учётные данные.

Команда исследователей ESET заявила, что эти атаки очень напоминает методы киберпреступной группировки, которую связывают с российским правительством. Сообществу эта группа известна под именами Dragonfly и Energetic Bear.

Источник: cripo.com.ua