早前美国加利福尼亚州旧金山国际机场发布声明承认其网站遭到黑客攻击并且可能泄露用户的账号和密码数据等。
更严重的是攻击者利用复杂的手段会窃取 Windows 登录密码,换句话说攻击者真正目的可能并不是旧金山机场。
至于黑客背景及攻击手法方面 , 来自斯洛伐克的老牌安全厂商ESET经过溯源后认为攻击者是Energetic Bear团队。
旧金山国际机场
来自俄罗斯的黑客集团:
被安全业界代称为Dragonfly(蜻蜓)或者是Energetic Bear(精力充沛的熊)是个来自俄罗斯的比较知名的黑客集团。
这个黑客集团自从 2010 年开始就活跃于各种网络攻击事件中,因此安全公司进行溯源时很容易找到相关的代码。
ESET 对旧金山机场攻击案中的恶意软件代码分析后发现,其部分代码以及利用方法与 Energetic Bear 非常相似。
不过目前这些仅是初步调查因此还无法确定真正的始作俑者,旧金山机场已经与当地执法机构合作调查此次攻击。
NTLM (NT LAN Manager) 验证过程中发送的哈希密码
攻击者的目的是窃取Windows登录密码:
让人比较诧异的是此次攻击者费尽心机发动攻击但目标并不是旧金山机场的数据,攻击者发动攻击其实另有所图。
调查发现攻击者在旧金山机场网站上嵌入恶意代码,嵌入的包括恶意 JavaScript脚本和某个经过特制的像素图片。
当 Windows 用户访问旧金山机场网站时浏览器会根据攻击者的指令自动下载该像素图片到系统某个特殊的路径。
这个特制的像素图片同样内含恶意代码可以开启SMB服务,而默认情况下Windows 会通过NTLM验证用户密码。
尽管密码是以哈希加密方式发送到攻击者服务器的,但攻击者也可以通过暴力猜解方式还原用户密码的明文内容。
有账户密码后攻击者可能会针对某些用户尤其是商业企业用户发动攻击,例如进入用户系统后窃取关键的资料等。
目前旧金山机场已经重置其网站上的所有账户密码,不过使用 Windows 登录过该网站的用户还需修改系统密码。