Хакеры атаковали почтовые серверы Федерального Бюро Расследований.
Они разослали тысячи фальшивых сообщений, в которых говорится, что их получатели стали жертвами «изощренной цепной атаки», о чем впервые сообщил Bleeping Computer. Электронные письма были первоначально обнаружены The Spamhaus Project, некоммерческой организацией, которая расследует данный случай.
В электронных письмах утверждается, что хакер Винни Троя стоял за фальшивыми атаками, а также ложно утверждается, что хакер связан с печально известной хакерской группой The Dark Overlord. На самом деле Троя – известный исследователь в области кибербезопасности, который руководит двумя компаниями по обеспечению безопасности в темной сети, NightLion и Shadowbyte.
Как отмечает Bleeping Computer, хакерам удалось разослать электронные письма более чем на 100 000 адресов, все из которых были извлечены из базы данных Американского Реестра Интернет Номеров (ARIN). В отчете Bloomberg говорится, что хакеры использовали общедоступную систему электронной почты ФБР, из-за чего электронные письма казались еще более законными.
Исследователь кибербезопасности Кевин Бомонт также подтверждает подлинность электронного письма, заявляя, что заголовки аутентифицируются как исходящие с серверов ФБР с использованием процесса DKIM (Domain Keys Identified Mail), который является частью системы, которую Gmail использует для наклеивания логотипов брендов на проверенные корпоративные электронные письма.
ФБР отреагировало на инцидент в пресс-релизе, отметив, что «идет расследование» и что «поврежденное оборудование было отключено». Кроме того, ФБР заявляет, что в настоящее время у них нет дополнительной информации, которой можно было бы поделиться.
По данным Bleeping Computer, рассылка спама, вероятно, была проведена как попытка опорочить Трою. В своем твите Троя предполагает, что атаку мог предпринять человек по имени «Помпомпурин». Как отмечает Bleeping Computer, этот же человек якобы пытался нанести ущерб репутации Трои аналогичными способами в прошлом.
Репортер по компьютерной безопасности Брайан Кребс также связывает Помпомпурина с этим инцидентом – человек якобы отправил ему сообщение с адреса электронной почты ФБР, когда были начаты атаки, со словами: «Привет, это Помпомпурин. Проверьте заголовки этого электронного письма, оно действительно пришло с сервера ФБР».
KrebsOnSecurity даже получил возможность поговорить с Помпомпуриным, который утверждает, что взлом был направлен на выявление уязвимостей в системе электронной почты ФБР.
«Я мог бы на 1000 процентов использовать это, чтобы отправлять более законные электронные письма, обманывать компании для передачи данных и т.д.», – сказал Помпомпурин в заявлении для KrebsOnSecurity.
Этот человек также сообщил изданию, что он воспользовался брешью в безопасности на портале правоохранительного предприятия ФБР (LEEP) и сумели зарегистрировать учетную запись, используя одноразовый пароль, встроенный в HTML-код страницы. Помпомпурин утверждает, что оттуда он смог манипулировать адресом отправителя и электронной почтой, выполнив масштабную кампанию по рассылке спама.
При таком доступе атака могла быть намного хуже, чем ложное оповещение, которое настораживало системных администраторов. Ранее в этом месяце президент Джо Байден поручил исправить ошибку, требующую от гражданских федеральных агентств исправления любых известных угроз. В мае Байден подписал распоряжение, направленное на улучшение киберзащиты страны после разрушительных атак на Colonial Pipeline и SolarWinds.