Gli hacker hanno preso di mira i server di posta elettronica del Federal Bureau of Investigation (FBI), inviando migliaia di messaggi fasulli che affermano che i suoi destinatari sono diventati vittime di un “sofisticato attacco a catena”, riportato per la prima volta da Bleeping Computer. Le e-mail sono state inizialmente scoperte da The Spamhaus Project, un'organizzazione senza scopo di lucro che indaga sugli spammer di e-mail.
Le e-mail affermano che Vinny Troia era dietro i falsi attacchi e affermano anche falsamente che Troia è associata al famigerato gruppo di hacker, The Dark Overlord, gli stessi cattivi attori che hanno trapelato la quinta stagione di Orange Is the New Black. In realtà, Troia è un importante ricercatore di sicurezza informatica che gestisce due società di sicurezza del dark web, NightLion e Shadowbyte.
Queste email assomiglia a questo:
Invio IP: 153.31.119.142 (https://t.co/En06mMbR88)
Da: eims@ic.fbi.gov
Oggetto: Urgente: Minaccia nei sistemi pic.twitter.com/NuojpnWNLh— Spamhaus (@spamhaus) 13 novembre 2021
Come notato da Bleeping Computer, gli hacker sono riusciti a inviare e-mail a oltre 100.000 indirizzi, che sono stati tutti eliminati dal database dell'American Registry for Internet Numbers (ARIN). Un rapporto di Bloomberg afferma che gli hacker hanno utilizzato il sistema di posta elettronica pubblico dell'FBI, rendendo le e-mail ancora più legittime. Anche il ricercatore di sicurezza informatica Kevin Beaumont attesta l'aspetto legittimo dell'e-mail, affermando che le intestazioni sono autenticate come provenienti dai server dell'FBI utilizzando il processo Domain Keys Identified Mail (DKIM) che fa parte del sistema utilizzato da Gmail per incollare i loghi dei marchi sulle e-mail aziendali verificate.< /p>
L'e-mail è stata inviata da questi server interni dell'FBI, secondo le intestazioni (che convalidano con DKIM).
dap00025.str0.eims.cjis – 10.67.35.50
wvadc-dmz-pmo003-fbi.enet.cjis
dap00040.str0.eims.cjis – 10.66. 2.72
Prima che qualcuno scappi dal precipizio della Russia, controllerei le webapp.
— Kevin Beaumont (@GossiTheDog) 13 novembre 2021
L'FBI ha risposto all'incidente in un comunicato stampa, osservando che si tratta di una “situazione in corso” e che “l'hardware interessato è stato messo offline”. A parte questo, l'FBI afferma di non avere più informazioni da condividere in questo momento.
Secondo Bleeping Computer, la campagna di spam è stata probabilmente condotta come tentativo di diffamare Troia. In un tweet, Troia ipotizza che un individuo che si fa chiamare “Pompompurin” potrebbe aver lanciato l'attacco. Come osserva Bleeping Computer, quella stessa persona avrebbe tentato di danneggiare la reputazione di Troia in modi simili in passato.
Un rapporto del reporter di sicurezza informatica Brian Krebs collega anche Pompompurin all'incidente: l'individuo gli avrebbe inviato un messaggio da un indirizzo e-mail dell'FBI quando sono stati lanciati gli attacchi, affermando: “Ciao, è pompompurin. Controlla le intestazioni di questa e-mail, in realtà proviene dal server dell'FBI. KrebsOnSecurity ha anche avuto la possibilità di parlare con Pompompurin, il quale afferma che l'hack aveva lo scopo di evidenziare le vulnerabilità della sicurezza all'interno dei sistemi di posta elettronica dell'FBI.
“Avrei potuto usare il 1000 percento di questo per inviare e-mail più legittime, indurre le aziende a consegnare dati, ecc. “, ha detto Pompompurin in una dichiarazione a KrebsOnSecurity. L'individuo ha anche detto al punto vendita di aver sfruttato una lacuna di sicurezza sul portale Law Enforcement Enterprise (LEEP) dell'FBI e di essere riuscito a registrarsi per un account utilizzando una password monouso incorporata nell'HTML della pagina. Da lì, Pompompurin afferma di essere stato in grado di manipolare l'indirizzo e il corpo dell'e-mail del mittente, eseguendo la massiccia campagna di spam.
Con quel tipo di accesso, l'attacco avrebbe potuto essere molto peggio di un falso avviso che ha messo in allerta gli amministratori di sistema. All'inizio di questo mese, il presidente Joe Biden ha incaricato una correzione di bug che richiede alle agenzie federali civili di correggere eventuali minacce note. A maggio, Biden ha firmato un ordine esecutivo che mira a migliorare le difese informatiche della nazione a seguito di attacchi dannosi alla Colonial Pipeline e a SolarWinds.