Nghe có vẻ giống như một cơn ác mộng đối với hành khách đi máy bay, các nhà nghiên cứu tại Trusteer gần đây đã phát hiện ra một biến thể của Trojan Citadel nhắm vào thông tin đăng nhập mạng riêng ảo (VPN) được sử dụng bởi các nhân viên tại một sân bay lớn. Công ty sẽ không tiết lộ tên của sân bay vì tình hình hiện tại đang bị cơ quan pháp luật điều tra.
Nhiều doanh nghiệp sử dụng VPN để cung cấp cho nhân viên bên ngoài quyền truy cập vào dữ liệu an toàn. Các cuộc xâm nhập vào các mạng này thường liên quan đến phần mềm độc hại nâng cao “Man in the Browser” chẳng hạn như các chương trình Citadel, Zeus và SpyEye. Cuộc tấn công man-in-the-browser (MITB) lần đầu tiên sử dụng phần mềm độc hại lấy biểu mẫu, đánh cắp dữ liệu được nhập vào các biểu mẫu web trước khi nó được chuyển qua internet, để đánh cắp tên người dùng và mật khẩu VPN của nhân viên sân bay, Amit Klein, giám đốc của Trusteer nhân viên công nghệ, cho biết trong một bài đăng trên blog.
“Điều này có khả năng rất nguy hiểm, nhưng chúng tôi không biết liệu nhóm tấn công nhắm mục tiêu vào hệ thống tài chính của sân bay vì lợi ích kinh tế hay liệu cuộc tấn công có liên quan đến khủng bố hay không,”
VPN sân bay đã ngay lập tức bị ngắt kết nối sau khi các quan chức ở đó biết về vi phạm và các nhà chức trách đang điều tra.
Sản phẩm mà sân bay đang sử dụng để cung cấp khả năng xác thực mạnh mẽ cho nhân viên đã cho mỗi người dùng hai lựa chọn: đăng nhập bằng tên người dùng và mật khẩu dùng một lần được gửi qua SMS hoặc ứng dụng điện thoại thông minh; hoặc đăng nhập bằng hình ảnh giống CAPTCHA gồm 10 chữ số mà người dùng ánh xạ tới mật khẩu tĩnh của chính mình. Phần mềm độc hại Citadel đã sử dụng chiến thuật chụp màn hình để đánh bại điều này.
“Biện pháp bảo mật này ngăn trình lấy biểu mẫu lấy mật khẩu tĩnh thực tế. Đây là lúc tính năng chụp màn hình trong Thành cổ phát huy tác dụng” Klein nói.
Trusteer không biết ai là kẻ tấn công và mục đích của chúng là gì, nhưng Kedem nói rằng chúng có thể đang cố gắng thu thập thông tin tình báo về quy trình an ninh sân bay, hoặc thậm chí là dịch vụ hải quan biên giới. dòng là các kết nối VPN không an toàn.
Ngoài việc sử dụng phần mềm phòng chống tội phạm mạng điểm cuối, Kedem cũng khuyên người dùng tuân thủ các biện pháp tiêu chuẩn để ngăn ngừa lây nhiễm: tránh mở tệp đính kèm không xác định hoặc nhấp vào liên kết trong email.
