Photo by Duke Cullinan on Unsplash

上周舊金山國際機場(San Francisco International Airport,SFO)自承今年3月有網站被駭,可能導致登入過網站的使用者,個人的Windows登入帳密被竊取。最新研究顯示,這起資安事件可能和俄羅斯駭客有關,而且所有登入過舊金山機場網站的使用者,都應該小心。

舊金山國際機場的SFOConnect.com與SFOConstruction.com兩個網站,在3月被駭客植入了惡意程式,目的在竊取從外部網路存取網站的使用者Windows裝置密碼。至於駭客背景及手法,安全廠商ESET公布其研究,顯示可能是一個俄羅斯駭客組織所為。

ESET研究中心指出,從攻擊手法和工具來看,舊金山機場駭客入侵事件,和名為Dragonfly/Energetic Bear的俄羅斯駭客組織慣用手法很像。這個組織從2010年起就為俄羅斯政府執行網路攻擊行動。ESET也在發現攻擊後,通報舊金山機場當局。

ESET指出,駭客目的在蒐集所有Windows使用者帳號及NTLM(NT LAN Manager)驗證協定的雜湊值。他們駭入SFOConnect.com及SFOConstruction.com網站後,在HTML中加入JavaScript,以注入file: // xn--1x1-l29dp4eo1au0xzuflqhpwjden56gs82dsuzcbqdxyg pixel的圖片檔。

當Windows機器以瀏覽器造訪網站時,瀏覽器便會根據該路徑下載該圖片檔,並以SMB檔案開啟。預設下的Windows會在NTLM驗證過程中,送出Windows帳號及雜湊值到駭客掌控的遠端伺服器。駭客接收Windows雜湊值後,可以進一步破解密碼或用以入侵受害者公司的Windows網路,進行大規模竊密、刪改檔案或勒索攻擊。

雖然舊金山國際機場已經強制重設所有受影響使用者的電子郵件及網路密碼,且目前似乎沒有其他機場被駭,但這項攻擊也會影響外部使用者,因此所有透過Windows裝置上的IE、自外部網路造訪上述網站的使用者,都應該修改自己裝置上的登入密碼。


Advertisement

更多 iThome相關內容