Según la información suministrada por ESET, el pirateo de los sitios web de los empleados del aeropuerto internacional de San Francisco, se ha atribuido a un grupo de ciberdelincuentes estatales rusos, que utilizó el protocolo SMB para robar las contraseñas de Windows.
En los últimos días, se supo que el Aeropuerto Internacional de San Francisco (SFO) sufrió un ciberataque, en marzo de 2020, cuyo objetivo era robar las contraseñas de Windows de los empleados del aeropuerto.
En esos momentos, las autoridades de la terminal aérea no brindaron mayores precisiones sobre el incidente. Pero la nueva información publicada en Twitter por la empresa de seguridad cibernética, ESET, arroja luz en relación a los responsables, y a la modalidad empleada, para atacar los inicios de sesión de Windows.
Según los expertos, los atacantes utilizaron “código informático malicioso” para robar las credenciales de acceso a Windows de algunos usuarios, según la notificación de violación de la SFO.
“Los usuarios posiblemente afectados por este ataque incluyen a aquellos que acceden a estos sitios web desde fuera de la red del aeropuerto a través de Internet Explorer en un dispositivo personal basado en Windows o un dispositivo no mantenido por SFO”, decía la notificación de violación.
ESET Research informó el martes que la violación estaba “en línea con las TTPs [tácticas, técnicas y procedimientos] de un grupo APT conocido como Dragonfly/Energetic Bear”, y que “La intención era recoger las credenciales de Windows (nombre de usuario/NTLM hash) de los visitantes explotando una característica SMB y el prefijo file://”.
Después de que el código malicioso fue descubierto, ambos sitios web fueron temporalmente desconectados y el aeropuerto forzó un restablecimiento de todos los “correos electrónicos y contraseñas de red relacionados con SFO”.
Con información de: ZDNet.