Hackare riktade in sig på Federal Bureau of Investigations (FBI) e-postservrar och skickade ut tusentals falska meddelanden som säger att dess mottagare har blivit offer för en “sofistikerad kedjeattack”, som först rapporterades av Bleeping Computer. E-postmeddelandena upptäcktes först av The Spamhaus Project, en ideell organisation som undersöker e-postspammare.
E-postmeddelandena hävdar att Vinny Troia låg bakom de falska attackerna och uppger också felaktigt att Troia är associerad med den ökända hackergruppen, The Dark Overlord — samma dåliga skådespelare som läckte den femte säsongen av Orange Is the New Black. I verkligheten är Troia en framstående cybersäkerhetsforskare som driver två mörka webbsäkerhetsföretag, NightLion och Shadowbyte.
Dessa e-postmeddelanden se ut så här:
Skicka IP: 153.31.119.142 (https://t.co/En06mMbR88)
Från: eims@ic.fbi.gov
Ämne: Brådskande: Hotaktör i system pic.twitter.com/NuojpnWNLh— Spamhaus (@spamhaus) 13 november 2021
Som noterat av Bleeping Computer lyckades hackarna skicka ut e-postmeddelanden till över 100 000 adresser, som alla skrapats från databasen American Registry for Internet Numbers (ARIN). En rapport från Bloomberg säger att hackare använde FBI:s offentliga e-postsystem, vilket fick e-postmeddelandena att verka desto mer legitima. Cybersäkerhetsforskaren Kevin Beaumont intygar också e-postmeddelandets legitima utseende och säger att rubrikerna är autentiserade som att de kommer från FBI-servrar med DKIM-processen (Domain Keys Identified Mail) som är en del av systemet Gmail använder för att fästa varumärkeslogotyper på verifierade företags-e-postmeddelanden.< /p>
Mejlet skickades från dessa FBI interna servrar, enligt rubrikerna (som valideras med DKIM).
dap00025.str0.eims.cjis – 10.67.35.50
wvadc-dmz-pmo003-fbi.enet.cjis
dap00040.str0.eims.cjis – 10.66. 2.72
Innan någon springer utanför Rysslands klippa skulle jag kolla webbappar.
— Kevin Beaumont (@GossiTheDog) 13 november 2021
FBI svarade på händelsen i ett pressmeddelande och noterade att det är en “pågående situation” och att “den påverkade hårdvaran togs offline.” Bortsett från det säger FBI att de inte har någon mer information som de kan dela just nu.
Enligt Bleeping Computer genomfördes spamkampanjen troligen som ett försök att förtala Troia. I en tweet spekulerar Troia att en person som går under namnet “Pompompurin” kan ha inlett attacken. Som Bleeping Computer noterar, ska samma person ha försökt skada Troias rykte på liknande sätt tidigare.
En rapport från datasäkerhetsreportern Brian Krebs kopplar också Pompompurin till incidenten – individen ska ha skickat ett meddelande till honom från en FBI-e-postadress när attackerna inleddes, och sa: “Hej dess pompompurin. Kontrollera rubrikerna på det här e-postmeddelandet att det faktiskt kommer från FBI-servern.” KrebsOnSecurity fick till och med en chans att prata med Pompompurin, som hävdar att hacket var avsett att lyfta fram säkerhetsbristerna i FBI:s e-postsystem.
“Jag kunde till 1000 procent ha använt detta för att skicka mer legitima e-postmeddelanden, lura företag att lämna över data etc.,” sa Pompompurin i ett uttalande till KrebsOnSecurity. Individen berättade också för butiken att de utnyttjade en säkerhetslucka på FBI:s Law Enforcement Enterprise (LEEP)-portal och lyckades registrera sig för ett konto med ett engångslösenord inbäddat i sidans HTML. Därifrån hävdar Pompompurin att de kunde manipulera avsändarens adress och e-posttext och körde den massiva spamkampanjen.
Med den typen av åtkomst kunde attacken ha varit mycket värre än en falsk varning som satte systemadministratörer i hög beredskap. Tidigare denna månad beordrade president Joe Biden en buggfix som kräver att civila federala myndigheter korrigerar alla kända hot. I maj undertecknade Biden en verkställande order som syftar till att förbättra landets cyberförsvar i spåren av skadliga attacker mot Colonial Pipeline och SolarWinds.