Les pirates ont ciblé les serveurs de messagerie du Federal Bureau of Investigation (FBI), en envoyant des milliers de faux messages disant que leurs destinataires sont devenus les victimes d'une “attaque en chaîne sophistiquée”, rapportée pour la première fois par Bleeping Computer. Les e-mails ont été initialement découverts par The Spamhaus Project, une organisation à but non lucratif qui enquête sur les spammeurs d'e-mails.
Les e-mails affirment que Vinny Troia était derrière les fausses attaques et déclarent également à tort que Troia est associé au tristement célèbre groupe de piratage, The Dark Overlord – les mêmes mauvais acteurs qui ont divulgué la cinquième saison d'Orange Is the New Black. En réalité, Troia est un éminent chercheur en cybersécurité qui dirige deux sociétés de sécurité Web sombre, NightLion et Shadowbyte.
Ces e-mails ressemblez à ceci :
Envoi de l'adresse IP : 153.31.119.142 (https://t.co/En06mMbR88)
De : eims@ic.fbi.gov
Objet : Urgent : Menace dans les systèmes pic.twitter.com/NuojpnWNLh— Spamhaus (@spamhaus) 13 novembre 2021
Comme l'a noté Bleeping Computer, les pirates ont réussi à envoyer des e-mails à plus de 100 000 adresses, qui ont toutes été extraites de la base de données ARIN (American Registry for Internet Numbers). Un rapport de Bloomberg indique que les pirates informatiques ont utilisé le système de messagerie électronique du FBI, ce qui rend les e-mails d'autant plus légitimes. Le chercheur en cybersécurité Kevin Beaumont atteste également de l'apparence légitime de l'e-mail, déclarant que les en-têtes sont authentifiés comme provenant des serveurs du FBI à l'aide du processus DKIM (Domain Keys Identified Mail) qui fait partie du système utilisé par Gmail pour coller les logos de la marque sur les e-mails d'entreprise vérifiés.< /p>
L'e-mail a été envoyé depuis ces serveurs internes du FBI, selon les en-têtes (qui valident avec DKIM).
dap00025.str0.eims.cjis – 10.67.35.50
wvadc-dmz-pmo003-fbi.enet.cjis
dap00040.str0.eims.cjis – 10.66. 2.72
Avant que quelqu'un ne s'enfuie de la falaise russe, je vérifierais les applications Web.
— Kevin Beaumont (@GossiTheDog) 13 novembre 2021
Le FBI a répondu à l'incident dans un communiqué de presse, notant qu'il s'agit d'une “situation en cours” et que “le matériel concerné a été mis hors ligne”. En dehors de cela, le FBI dit qu'il n'a plus d'informations à partager pour le moment.
Selon Bleeping Computer, la campagne de spam a probablement été menée dans le but de diffamer Troia. Dans un tweet, Troia spécule qu'un individu du nom de “Pompompurin” a peut-être lancé l'attaque. Comme le note Bleeping Computer, cette même personne aurait tenté de nuire à la réputation de Troia de manière similaire dans le passé.
Un rapport du journaliste en sécurité informatique Brian Krebs relie également Pompompurin à l'incident – l'individu lui aurait envoyé un message à partir d'une adresse e-mail du FBI lorsque les attaques ont été lancées, déclarant: «Bonjour sa pompompurin. Vérifiez les en-têtes de cet e-mail, il provient en fait du serveur du FBI. KrebsOnSecurity a même eu l'occasion de parler à Pompompurin, qui prétend que le piratage visait à mettre en évidence les failles de sécurité des systèmes de messagerie du FBI.
« J'aurais pu à 100 % l'utiliser pour envoyer des e-mails plus légitimes, inciter les entreprises à transmettre des données, etc. », a déclaré Pompompurin dans une déclaration à KrebsOnSecurity. L'individu a également déclaré au point de vente qu'il avait exploité une faille de sécurité sur le portail Law Enforcement Enterprise (LEEP) du FBI et avait réussi à créer un compte à l'aide d'un mot de passe à usage unique intégré dans le code HTML de la page. À partir de là, Pompompurin affirme avoir été en mesure de manipuler l'adresse de l'expéditeur et le corps de l'e-mail, en exécutant la campagne de spam massive.
Avec ce type d'accès, l'attaque aurait pu être bien pire que une fausse alerte qui a mis les administrateurs système en état d'alerte élevé. Plus tôt ce mois-ci, le président Joe Biden a mandaté une correction de bogue qui appelle les agences fédérales civiles à corriger toute menace connue. En mai, Biden a signé un décret visant à améliorer les cyberdéfenses du pays à la suite d'attaques préjudiciables contre le pipeline colonial et SolarWinds.