Una settimana fa il
San Francisco International Airport ha
reso pubblica una
violazione dei sistemi che è avvenuta lo scorso marzo. Sono stati in particolare violati due siti - SFOConnect.com e SFOConstruction.com - destinati ai dipendenti dell'aeroporto. Nelle pagine di questi due siti è stato inserito codice ad hoc per
catturare le credenziali di login dei malcapitati visitatori. Non però del login ai siti, ma proprio le credenziali per accedere ai loro computer.
Ad essere potenzialmente colpiti sono stati coloro che si sono connessi ai due siti
dall'esterno della rete dell'aeroporto. Usando un computer
Windows e il browser
Internet Explorer. E, sottolinea lo staff IT dell'aeroporto, usando i propri computer personali. Non quelli "gestiti da SFO".
ESET ha dato qualche indicazione in più sull'accaduto. Il codice "malevolo" inserito nei siti violati serviva a
rubare le credenziali di Windows di chi vi accedeva. Nel caso di dipendenti dell'aeroporto, queste credenziali si sarebbero potute usare per entrare nei loro PC. E da questi, eseguire uno
spostamento laterale sul resto della rete interna. Causando potenzialmente
un data breach molto più grave.
Per questo l'IT del San Francisco International Airport ha
cambiato d'ufficio le credenziali Windows dei dipendenti. Ma l'attacco potrebbe aver coinvolto anche altri visitatori dei siti incriminati. A cui nessuno avrà cambiato le credenziali di login.
Il modus operandi è quello tipico di un gruppo di hacker ostili russi, secondo ESET. Noto come
Energetic Bear o anche come
DragonFly. Si ritiene che il gruppo, attivo dal 2010, sia collegato al Governo russo. Negli anni ha scatenato attacchi verso aziende e organizzazioni di tutto il mondo. La sua specializzazione è il
comparto energia. Ma già da qualche tempo sembra essersi orientato
anche verso il settore aerospaziale.