Plus tôt, à l'aéroport international de San Francisco en Californie, les États-Unis ont publié une déclaration reconnaissant que leur site Web avait été piraté et qu'il pouvait divulguer des données de compte d'utilisateur et de mot de passe. Plus sérieusement, l'attaquant a volé le mot de passe de connexion Windows par des moyens compliqués. En d'autres termes, le véritable objectif de l'attaquant n'est peut-être pas l'aéroport de San Francisco.
En ce qui concerne l'arrière-plan et les méthodes d'attaque des pirates, les chercheurs en sécurité d'ESET pensent que l' attaquant est l'équipe Energetic Bear après avoir retracé . L'industrie de la sécurité appelée "Dragonfly Dragonfly" ou "Energetic Bear" est une organisation de hackers relativement connue en Russie.
Depuis 2010, le groupe de hackers a été actif dans diverses cyberattaques, il est donc facile pour les sociétés de sécurité de trouver le code pertinent lors du traçage du code source.
ESET a analysé le code malveillant dans l'attaque de l'aéroport de San Francisco et a constaté que certains de ses codes et méthodes d'utilisation étaient très similaires à Energetic Bear. Cependant, ce ne sont que des enquêtes préliminaires, donc le véritable initiateur ne peut pas être déterminé. L'aéroport de San Francisco a coopéré avec les services répressifs locaux pour enquêter sur l'attaque. Plus surprenant encore, les attaquants ont fait de leur mieux pour lancer l'attaque, mais la cible n'est pas les données de l'aéroport de San Francisco. L'attaque de l'attaquant a en fait d'autres plans.
Bien que le mot de passe soit envoyé au serveur de l'attaquant par chiffrement par hachage, l'attaquant peut également utiliser la devinette par force brute pour récupérer le contenu en texte brut du mot de passe de l'utilisateur. À l'aide de mots de passe de compte, les attaquants peuvent lancer des attaques contre certains utilisateurs, en particulier les utilisateurs commerciaux, par exemple, voler des informations clés après être entré dans le système de l'utilisateur.
Actuellement, l'aéroport de San Francisco a réinitialisé tous les mots de passe des comptes sur son site Web, mais les utilisateurs qui se connectent au site Web à l'aide de Windows doivent également modifier le mot de passe du système.
