美国旧金山机场遭网络攻击，幕后真凶指向俄罗斯

旧金山国际机场是世界级的高水准机场，每年承载游客5000万人次。从这里可以飞往北美各地以及全世界各个城市。

凭借独特的设施、顾客服务以及娱乐项目，旧金山国际机场被全球旅行者评为业内最好的机场。在2015年，旧金山国际机场被《Frequent Business Traveler》杂志评为美国最佳机场，同时全球知名的评论网站Skytrax将旧金山国际机场评为北美最优质客服机场。

然而，这家最佳机场，在4月7日贴出告示称，SFOConnect.com和SFOConstruction.com在2020年3月被网络攻击，网站被插入恶意代码用于窃取某些用户的登陆凭据，目前已知有人访问过该网站已经通知更改密码。

邮箱get(跑题了)

marcom@flysfo.com

就在众人纷纷猜测谁敢干出如此"英勇"之事时，来自斯洛伐克布拉迪斯拉的ESET公司给出了答案。

其称元凶便是：著名的APT组织Dragonfly(蜻蜓)，又名Energetic Bear(活力熊)，据美国称是来自俄罗斯的网军。

ESET给出的理由是，攻击者植入到网站的代码和攻击方式和此前Dragonfly的TTP一致。

如下图所示，该段代码目的是通过SMB共享目录的方式收集访问者的Windows凭据(用户名/NTLM哈希)，ESET恶意软件研究员Matthieu Faou称DragonFly已经使用这种通过file://的获取手法多年。

file://51.159.28.101/icon.png

黑鸟通过查看卡巴斯基2018年的报告，发现确实手法类似，同样是通过水坑进行攻击。

参考链接:

https://securelist.com/energetic-bear-crouching-yeti/85345/

建议国内也可以进行类似的规则下发和查询。

ESET在后续补充道，本次攻击和著名黑产组织MageCart没有关联，主要在于攻击者不是为了获取访问者访问被攻击网站的账号密码，而是为了获取访问者本身的Windows凭据。

基于此，他们怀疑该组织是否正在对全美的机场进行类似的攻击，因此打算扩大搜查面积。

Dragonfly组织至少从2011年起非常活跃，当时它主要攻击美国和加拿大国防和航空公司，而在2013年初将精力集中在美国和欧洲的能源公司上。

2014年，赛门铁克的安全专家发现了一个针对美国，意大利，法国，西班牙，德国，土耳其和波兰的组织的新活动。

蜻蜓进行了一次网络间谍活动，主要攻击了电网运营商，主要的发电公司，石油管道运营商和能源行业的工业设备提供商。

根据美国国土安全部发布的JAR报告，蜻蜓是与政府有联系的俄罗斯APT网军。

声明：本文来自黑鸟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。