上周旧金山国际机场(San Francisco International Airport,SFO)自承今年3月有网站被黑,可能导致登录过网站的用户,个人的Windows登录帐密被窃取。最新研究显示,这起安全事件可能和俄罗斯黑客有关,而且所有登录过旧金山机场网站的用户,都应该小心。
旧金山国际机场的SFOConnect.com与SFOConstruction.com两个网站,在3月被黑客植入了恶意程序,目的在窃取从外部网络访问网站的用户Windows设备密码。至于黑客背景及手法,安全厂商ESET公布其研究,显示可能是一个俄罗斯黑客组织所为。
ESET研究中心指出,从攻击手法和工具来看,旧金山机场黑客入侵事件,和名为Dragonfly/Energetic Bear的俄罗斯黑客组织惯用手法很像。这个组织从2010年起就为俄罗斯政府执行网络攻击行动。ESET也在发现攻击后,通报旧金山机场当局。
ESET指出,黑客目的在搜集所有Windows用户账号及NTLM(NT LAN Manager)验证协议的散列值。他们黑入SFOConnect.com及SFOConstruction.com网站后,在HTML中加入JavaScript,以注入file: // xn--1×1-l29dp4eo1au0xzuflqhpwjden56gs82dsuzcbqdxyg pixel的图片文件。
当Windows机器以浏览器访问网站时,浏览器便会根据该路径下载该图片文件,并以SMB文件打开。默认下的Windows会在NTLM验证过程中,送出Windows账号及散列值到黑客掌控的远程服务器。黑客接收Windows散列值后,可以进一步破解密码或用以入侵受害者公司的Windows网络,进行大规模窃密、删改文件或勒索攻击。
虽然旧金山国际机场已经强制重设所有受影响用户的电子邮件及网络密码,且目前似乎没有其他机场被黑,但这项攻击也会影响外部用户,因此所有通过Windows设备上的IE、自外部网络访问上述网站的用户,都应该修改自己设备上的登录密码。