上(shàng)周五，舊(jiù)金(jīn)山→λ (shān)國(guó)際機(jī)場(chǎng)（π¥​→SFO）披露了(le)一(yī)起數(shù)據洩露事★γ(shì)件(jiàn)，起因是(shì)其兩個(gè)網站(zα‍↔hàn)遭遇網絡攻擊，黑(hēi)客竊取了(le)用(yòng)戶&±≠$的(de)Windows登錄憑據。目前，在有(yǒu)關數(₹& shù)據洩露聲明(míng)的(de)通(t€•ōng)知(zhī)中，SFO已經提醒相(xiàng)關用(yòng)戶$¶γ修改Windows密碼。

這(zhè)起網絡攻擊事(shì)件(jiàn)發生(shēng)在2020₽σ±ε年(nián)3月(yuè)期間(jiān)，受到(dà δπ£o)攻擊的(de)網站(zhàn)為(wèi)SFOC‌₽•$onnect.com和(hé)SFOConstruction.com，目前黑(hēi)客已經¥₽€<獲得(de)了(le)兩個(gè)數(shù)據洩露網站(zhàn)★β•"上(shàng)的(de)用(yòng)戶登錄憑據的(de≥↑π)訪問(wèn)權限。

SFO是(shì)舊(jiù)金(jīn)山(shān)灣區(qū)最大>∞©(dà)的(de)機(jī)場(chǎng)，目前提供北(běi)美(měi)​±各地(dì)的(de)航班，并通(tōng)過12家(jiā)國(guó)內(nèi₹✘)航空(kōng)公司直飛(fēi)美(měi)&​國(guó)的(de)86個(gè)城(chéng)市(shì)。此外(wài)，SFO還 →₩€(hái)是(shì)通(tōng)向歐洲和(hé)亞洲的(de)主∞≥•×要(yào)門(mén)戶，通(tōng)過45家(ji←§£σā)國(guó)際航空(kōng)公司飛(fēi)往50多(duō)個(g£λè)國(guó)際城(chéng)市(shì)。

數(shù)據洩露後發布的(de)通(tōng)知(z∏γhī)

利用(yòng)惡意代碼注入竊取憑據

據通(tōng)知(zhī)，可(kě)以了(le)解到(dào)此次攻擊事(shì)✔‌件(jiàn)中，黑(hēi)客通(tōng)過在網站(♣∞$ zhàn)上(shàng)注入惡意代碼來(lái)竊取用↕∞®(yòng)戶登錄憑據。

此次攻擊影(yǐng)響目标用(yòng)戶包括那(nà)些(xiē)在Windows☆×個(gè)人(rén)設備或者在非SFO維護的(de$←γ)設備上(shàng)使用(yòng)Internet Explorer從(cóng)機(jī♥♦)場(chǎng)外(wài)部網絡訪問(wèn)這(zhè)兩個(gè←∞€β)網站(zhàn)的(de)用(yòng)戶。

經過調查後，SFO發現(xiàn)攻擊者可(kě)能(n&™éng)已經獲取相(xiàng)關用(yòng)戶的(de)用(yòng)戶名"→‌和(hé)密碼的(de)訪問(wèn)權限。随後，SFO删除了(le)注入這(z ∏‍​hè)兩個(gè)網站(zhàn)中的(de)惡意代碼，并在發現÷‌$β(xiàn)攻擊後将其脫機(jī)。

在2020年(nián)3月(yuè)23日(rì)，SFO強制(zh↓♥∞ì)重置所有(yǒu)與相(xiàng)關的(de)電(diàn)子(zǐ)郵件(ji↔<¥àn)和(hé)網絡密碼。如(rú)果用(yòng)戶使用(yòng)機(jī)場(ch↔↔¶ǎng)管理(lǐ)網絡內(nèi)外(wài)的(de)Internet Explo→÷↕‌rer訪問(wèn)這(zhè)兩個(gèπ₩)網站(zhàn)，那(nà)麽網站(zhàn)會(huì)提醒所有(yǒu)用(₹λyòng)戶更改其Windows設備的(de₩λ)帳戶密碼，還(hái)建議(yì)他(t↓≠↓ā)們更改其他(tā)使用(yòng)相( ↑xiàng)同用(yòng)戶名和(hé)密碼組合的(de)網絡服務或網站(z₽♥hàn)憑據。

截至發文(wén)，SFOConnect網站(zhàn)已經可(kě)以<↓正常進入和(hé)運行(xíng)，但(dàn)是(shì)SFOConstru<♣≈®ction僅顯示部分(fēn)內(nèi)容，并表示“整個(gè)網站(zhàn)正在維護φ≈&中，将盡快(kuài)備份。”

SFOConnect網站(zhàn)頁面

SFOConstruction網站(zhàn)頁面

網絡培訓公司Lucy Security的(de)CEO Col→'≤$in Bastable查看(kàn)了(le)暗 ÷↔(àn)網的(de)一(yī)些(xiē)數(shù)據，發現(₹₽®↕xiàn)在2月(yuè)下(xià)旬發布的×¥∑δ(de)大(dà)約8000個(gè)感染憑≥↑據中發現(xiàn)了(le)網站(zhànε )相(xiàng)關憑證，其中包括flysfo.com網站(zhàn)的(de)電(♦♦¶♥diàn)子(zǐ)郵件(jiàn)。Bastable表示：“flysβ≠©↑fo.com網站(zhàn)最大(dà)的(de)風(fēng)險來(lá' i)自(zì)于內(nèi)部員(yuán)工(gōng)，尤其是(γπshì)當他(tā)們在Zynga和(hé)Myfitnesspal等網站(zhàn)上(s≠♥hàng)使用(yòng)官方電(diàn)子(zǐ)郵件(jiàn)地(dì)址進行(x∞♥íng)個(gè)人(rén)業(yè)務操作(zuò)的(de)情況，有(yǒu)可(kě)能('₹± néng)正是(shì)因為(wèi)如(rú)此，才允許惡意代碼可(kě)以注入SFO網站(♠₩​™zhàn)中。”

機(jī)場(chǎng)作(zuò)為(wèi)國(guó♣​)家(jiā)的(de)關鍵基礎設施，一(yī)旦遭到(dào)黑(hēi)客攻擊，其影(yǐλ&ng)響力和(hé)破壞力後果重大(dà)，直接影(yǐng★÷)響人(rén)們的(de)生(shēng)活和(hé)國(guó)家(jiā)的(de)運作(↑ zuò)。目前，黑(hēi)客往往青睐于©±利用(yòng)IT威脅開(kāi)展OT攻擊，從(cóng)IT網的>₩α (de)病毒、勒索病毒、釣魚郵件(jiàn)等，進入OT網₩​'絡中工(gōng)業(yè)控制(zhì)系統ICS、工(gōng)業(yè)控制(zhì)協↑≈"議(yì)和(hé)SCADA等，随後在竊取各種數(shù)據，甚至進♠✔δ♥行(xíng)其他(tā)破壞，造成運營中斷或者混亂。重視(shì)關鍵信息基•★÷礎設施安全防護也(yě)越來(lái)越成為(wèi)國(guó)家(jiā)的(de)政策導×☆向和(hé)關注重點。

參考鏈接：

舊(jiù)金(jīn)山(shān)機(jī)場(chǎng)披露數(sh↓&∞ù)據洩露事(shì)件(jiàn)

舊(jiù)金(jīn)山(shān)網絡攻擊确認：系用(yòng)戶登錄憑據±→'©被盜

*本文(wén)作(zuò)者：Sandra1432

聲明(míng)：本文(wén)來(lái)自(zì)F∑β‌ reeBuf，版權歸作(zuò)者所有(yǒu)。文∑©≥ (wén)章(zhāng)內(nèi)容僅代表作(zuò)者獨立觀點，不(bù)代表海₩'♠€(hǎi)博科(kē)技(jì)立場(chǎng)，轉載目的(de)在于傳遞更多(duō★♦φ>)信息。如(rú)有(yǒu)侵權，請(qǐng)聯系 lilu@haibo-tech.com。 &