15/04/20
По данным специалистов ESET, за недавними взломами двух сайтов аэропорта Сан-Франциско может стоять APT-группа Energetic Bear, также известная как DragonFly.
Как сообщили исследователи в серии твитов, использовавшиеся в кибератаках тактики, техники и процедуры (TTP) совпадают с TTP хакеров из Energetic Bear. Целью злоумышленников было похищение учетных данных пользователей (имен пользователей/NTLM-хэша), посещавших сайты аэропорта Сан-Франциско. При этом хакеров интересовали не учетные данные для авторизации на взломанных сайтах, а учетные данные Windows, которые они пытались похитить путем эксплуатации функции SMB и префикса file://.
«Вопреки сообщениям нескольких человек, специалисты ESETresearch выяснили, что атака никак не связана с похитителями учетных данных Magecart», - сообщили исследователи.
По словам специалиста ESET Матье Фау (Matthieu Faou), тактики, техники и процедуры Energetic Bear мог скопировать кто-то еще, и нельзя быть на 100% уверенными в том, что атаки на сайты аэропорта Сан-Франциско действительно осуществила эта группировка.
Исследователи уведомили руководство аэропорта о взломе в марте нынешнего года, и уязвимости были исправлены.
Energetic Bear активна по меньшей мере с 2010 года. В основном она атакует компании в энергетическом и промышленном секторах по всему миру, но больше всего на Среднем Востоке, в Турции и США. Согласно отчету «Лаборатории Касперского» за апрель 2018 года, группировка расширила круг своих жертв, добавив в него компании из аэрокосмического и авиастроительного секторов. Интересно, что в своем отчете специалисты ЛК описали атаку watering hole, в ходе которой Energetic Bear использовала все тот же трюк с префиксом file://.
В свою очередь, Magecart – общее название для целого ряда киберпреступных группировок, атакующих преимущественно интернет-магазины с целью похищения данных платежных карт покупателей.
