Hackere målrettede Federal Bureau of Investigation's (FBI) e-mail-servere og sendte tusindvis af falske beskeder, der siger, at modtagerne er blevet ofre for et “sofistikeret kædeangreb”, som først blev rapporteret af Bleeping Computer. E-mails blev oprindeligt afsløret af The Spamhaus Project, en nonprofitorganisation, der undersøger e-mailspammere.
E-mails hævder, at Vinny Troia stod bag de falske angreb og angiver også fejlagtigt, at Troia er forbundet med den berygtede hackergruppe, The Dark Overlord – de samme dårlige skuespillere, som lækkede den femte sæson af Orange Is the New Black. I virkeligheden er Troia en fremtrædende cybersikkerhedsforsker, der driver to mørke websikkerhedsselskaber, NightLion og Shadowbyte.
Disse e-mails se sådan ud:
Afsender IP: 153.31.119.142 (https://t.co/En06mMbR88)
Fra: eims@ic.fbi.gov
Emne: Haster: Trusselaktør i systemer pic.twitter.com/NuojpnWNLh— Spamhaus (@spamhaus) 13. november 2021
Som bemærket af Bleeping Computer lykkedes det hackerne at sende e-mails til over 100.000 adresser, som alle blev skrabet fra databasen American Registry for Internet Numbers (ARIN). En rapport fra Bloomberg siger, at hackere brugte FBI's offentligt vendte e-mail-system, hvilket fik e-mails til at virke endnu mere legitime. Cybersikkerhedsforsker Kevin Beaumont attesterer også e-mailens legitime udseende og udtaler, at overskrifterne er godkendt som værende fra FBI-servere ved hjælp af DKIM-processen (Domain Keys Identified Mail), som er en del af det system, Gmail bruger til at sætte mærkelogoer på bekræftede virksomheds-e-mails.< /p>
E-mailen blev sendt fra disse interne FBI-servere i henhold til overskrifterne (som valideres med DKIM).
dap00025.str0.eims.cjis – 10.67.35.50
wvadc-dmz-pmo003-fbi.enet.cjis
dap00040.str0.eims.cjis – 10.66. 2.72
Før nogen løber ud af den russiske klippe, ville jeg tjekke webapps.
— Kevin Beaumont (@GossiTheDog) 13. november 2021
FBI reagerede på hændelsen i en pressemeddelelse og bemærkede, at det er en “igangværende situation”, og at “den påvirkede hardware blev taget offline.” Bortset fra det siger FBI, at det ikke har flere oplysninger, det kan dele på nuværende tidspunkt.
Ifølge Bleeping Computer blev spamkampagnen sandsynligvis udført som et forsøg på at bagvaske Troia. I et tweet spekulerer Troia i, at en person, der går under navnet “Pompompurin”, kan have indledt angrebet. Som Bleeping Computer bemærker, har den samme person angiveligt forsøgt at skade Troias omdømme på lignende måder tidligere.
En rapport fra computersikkerhedsreporter Brian Krebs forbinder også Pompompurin med hændelsen – personen har angiveligt sendt en besked til ham fra en FBI-e-mailadresse, da angrebene blev lanceret, og sagde: “Hej dens pompompurin. Tjek overskrifterne på denne e-mail, den kommer faktisk fra FBI-serveren.” KrebsOnSecurity fik endda en chance for at tale med Pompompurin, som hævder, at hacket var beregnet til at fremhæve sikkerhedssårbarhederne i FBI's e-mail-systemer.
“Jeg kunne 1000 procent have brugt dette til at sende mere lovlige e-mails, narre virksomheder til at udlevere data osv.,” sagde Pompompurin i en erklæring til KrebsOnSecurity. Personen fortalte også forretningen, at de udnyttede et sikkerhedshul på FBI's Law Enforcement Enterprise (LEEP) portal og formåede at tilmelde sig en konto ved hjælp af en engangsadgangskode indlejret i sidens HTML. Derfra hævder Pompompurin, at de var i stand til at manipulere afsenderens adresse og e-mail-tekst ved at udføre den massive spamkampagne.
Med den slags adgang kunne angrebet have været meget værre end en falsk alarm, der satte systemadministratorer i høj alarmberedskab. Tidligere på måneden gav præsident Joe Biden mandat til en fejlrettelse, der opfordrer civile føderale agenturer til at lappe alle kendte trusler. I maj underskrev Biden en bekendtgørelse, der har til formål at forbedre nationens cyberforsvar i kølvandet på skadelige angreb på Colonial Pipeline og SolarWinds.