E安全4月15日訊,近日據外媒報道,在三月底黑客入侵了舊金山國際機場(SFO)的兩個網站後,這兩個網站都被披露數據洩露。SFO是美國通向歐洲和亞洲的主要門戶,它為45家國際航空公司提供服務,每年承載遊客5000萬人次是世界頂級機場。
據悉自黑客在SFOConnect.com和SFOConstruction.com這兩個網站上部署了惡意軟件後,攻擊者可能已經獲得了訪問某些用戶登錄憑據的權限,並使用它們登錄了個人設備。機場在事件發生後表示,受到此攻擊影響的用戶包括那些在機場內部和機場周邊使用過Windows網絡個人設備或非SFO維護設備的用戶。
對此,PerimeterX的安全宣傳員Ameet Naik表示,此次攻擊是Magecart式攻擊的典型例子,黑客通過此類攻擊可以直接從用戶的瀏覽器中竊取數據,甚至在數據到達SFO系統之前就可以把數據攔截。由於這個攻擊是在用戶設備上發生的,因此網站管理員將無法檢測到它,這也就是Magecart攻擊如此普遍且難以檢測的主要原因。同時,攻擊者知道,人們傾向於在不同網站上重複使用相同的密碼,竊取到密碼後他們會嘗試使用該密碼去登錄更有價值的網站系統。
事件發生後,機場表示兩個受影響的網站均已脫機,惡意代碼已被刪除。此外,所有與SFO相關的電子郵件和網絡密碼都已在3月23日重置。SFO機場信息技術和電信部門將會敦促使用過Internet Explorer Web瀏覽器訪問過這兩個網站的用戶更改設備密碼。SFO的IT人員已經刪除了注入其網站中的惡意代碼,並在攻擊後將兩者脫機。同時,為響應此事件,SFO機場重置了所有電子郵件和網絡密碼。
此外,根據安全公司Lucy Security對這一事件的內部調查顯示,黑客從網站竊取的某些數據可能已經上傳到了Dark Web上。調查中,研究人員發現IT防禦測試服務於2020年2月下旬在Dark Web上共享了大約8000個與Flysfo.com相關聯的憑證,這意味著,機場IT團隊花了將近一個月的時間來解決攻擊問題。
對於此次事件的幕後真兇,據美國調查公司ESET稱是來自俄羅斯的網軍,ESET公司表示他們認為著名的APT組織Dragonfly(蜻蜓),又名Energetic Bear(活力熊)是此次攻擊的發起者。原因是攻擊者植入到網站的代碼和攻擊方式與此前Dragonfly的TTP是一致的。但是目前的數據並不能完全確定攻擊的真實信息,ESET公司還懷疑該組織是否正在對全美的機場進行類似的攻擊,因此打算擴大搜查面積以降低其它機場遭受相似的攻擊的風險。
