Хакеры атаковали почтовые серверы Федерального Бюро Расследований.
Они разослали тысячи фальшивых сообщений, в которых говорится, что их получатели стали жертвами «изощренной цепной атаки», о чем впервые сообщил Bleeping Computer. Электронные письма были первоначально обнаружены The Spamhaus Project, некоммерческой организацией, которая расследует данный случай.
В электронных письмах утверждается, что хакер Винни Троя стоял за фальшивыми атаками, а также ложно утверждается, что хакер связан с печально известной хакерской группой The Dark Overlord. На самом деле Троя – известный исследователь в области кибербезопасности, который руководит двумя компаниями по обеспечению безопасности в темной сети, NightLion и Shadowbyte.
These fake warning emails are apparently being sent to addresses scraped from ARIN database. They are causing a lot of disruption because the headers are real, they really are coming from FBI infrastructure. They have no name or contact information in the .sig. Please beware!
— Spamhaus (@spamhaus) November 13, 2021
Как отмечает Bleeping Computer, хакерам удалось разослать электронные письма более чем на 100 000 адресов, все из которых были извлечены из базы данных Американского Реестра Интернет Номеров (ARIN). В отчете Bloomberg говорится, что хакеры использовали общедоступную систему электронной почты ФБР, из-за чего электронные письма казались еще более законными.
Исследователь кибербезопасности Кевин Бомонт также подтверждает подлинность электронного письма, заявляя, что заголовки аутентифицируются как исходящие с серверов ФБР с использованием процесса DKIM (Domain Keys Identified Mail), который является частью системы, которую Gmail использует для наклеивания логотипов брендов на проверенные корпоративные электронные письма.
ФБР отреагировало на инцидент в пресс-релизе, отметив, что «идет расследование» и что «поврежденное оборудование было отключено». Кроме того, ФБР заявляет, что в настоящее время у них нет дополнительной информации, которой можно было бы поделиться.
По данным Bleeping Computer, рассылка спама, вероятно, была проведена как попытка опорочить Трою. В своем твите Троя предполагает, что атаку мог предпринять человек по имени «Помпомпурин». Как отмечает Bleeping Computer, этот же человек якобы пытался нанести ущерб репутации Трои аналогичными способами в прошлом.
The email was sent from these FBI internal servers, per the headers (which validate with DKIM).
— Kevin Beaumont (@GossiTheDog) November 13, 2021
dap00025.str0.eims.cjis - 10.67.35.50
wvadc-dmz-pmo003-fbi.enet.cjis
dap00040.str0.eims.cjis - 10.66.2.72
Before anybody runs off the Russia cliff, I would check webapps.
Репортер по компьютерной безопасности Брайан Кребс также связывает Помпомпурина с этим инцидентом – человек якобы отправил ему сообщение с адреса электронной почты ФБР, когда были начаты атаки, со словами: «Привет, это Помпомпурин. Проверьте заголовки этого электронного письма, оно действительно пришло с сервера ФБР».
KrebsOnSecurity даже получил возможность поговорить с Помпомпуриным, который утверждает, что взлом был направлен на выявление уязвимостей в системе электронной почты ФБР.
«Я мог бы на 1000 процентов использовать это, чтобы отправлять более законные электронные письма, обманывать компании для передачи данных и т.д.», – сказал Помпомпурин в заявлении для KrebsOnSecurity.
Этот человек также сообщил изданию, что он воспользовался брешью в безопасности на портале правоохранительного предприятия ФБР (LEEP) и сумели зарегистрировать учетную запись, используя одноразовый пароль, встроенный в HTML-код страницы. Помпомпурин утверждает, что оттуда он смог манипулировать адресом отправителя и электронной почтой, выполнив масштабную кампанию по рассылке спама.
При таком доступе атака могла быть намного хуже, чем ложное оповещение, которое настораживало системных администраторов. Ранее в этом месяце президент Джо Байден поручил исправить ошибку, требующую от гражданских федеральных агентств исправления любых известных угроз. В мае Байден подписал распоряжение, направленное на улучшение киберзащиты страны после разрушительных атак на Colonial Pipeline и SolarWinds.
Подписывайтесь на T4S.TECH в Telegram. Публикуем новости, обзоры и забавные факты о технологиях.