早些时候,美国加利福尼亚州旧金山国际机场发表声明,承认其网站被黑,并可能泄露用户帐户和密码数据。更严重的是,攻击者通过复杂的手段窃取了Windows登录密码。换句话说,攻击者的真正目的可能不是旧金山机场。
关于黑客的背景和攻击方法,ESET的安全研究人员在追溯之后认为攻击者是Energetic Bear团队。安全行业称为“蜻蜓Dragonfly”或“精力充沛的熊 Energetic Bear”是来自俄罗斯的一个相对知名的黑客组织。
自2010年以来,该黑客组织一直活跃于各种网络攻击中,因此,安全公司在追踪源代码时很容易找到相关代码。
ESET分析了旧金山机场攻击中的恶意软件代码,发现其某些代码和使用方法与Energetic Bear非常相似。但是,这些只是初步调查,因此无法确定真正的发起者。旧金山机场已与当地执法机构合作调查这次袭击。更令人惊讶的是,攻击者已尽力发起了攻击,但目标并非旧金山机场的数据。攻击者的攻击实际上还有其他计划。
调查发现,攻击者在旧金山机场网站上嵌入了恶意代码,其中包括恶意JavaScript脚本和特制像素图像。Windows用户访问旧金山机场网站时,浏览器将根据攻击者的指示将像素图像自动下载到系统中的特殊路径。此特制的像素图像还包含启用SMB服务的恶意代码,默认情况下,Windows将通过NTLM验证用户密码。
尽管密码是通过哈希加密发送到攻击者的服务器的,但攻击者还可以通过蛮力猜测来恢复用户密码的纯文本内容。使用帐户密码,攻击者可以对某些用户,特别是商业企业用户发起攻击,例如在进入用户系统后窃取关键信息。
目前,旧金山机场已重置其网站上的所有帐户密码,但是使用Windows登录到该网站的用户还需要更改系统密码。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx