Hacker haben die E-Mail-Server des Federal Bureau of Investigation (FBI) ins Visier genommen und Tausende von gefälschten Nachrichten gesendet, die besagen, dass ihre Empfänger Opfer eines “ausgeklügelten Kettenangriffs” geworden sind, der erstmals von Bleeping Computer berichtet wurde. Die E-Mails wurden ursprünglich von The Spamhaus Project aufgedeckt, einer gemeinnützigen Organisation, die E-Mail-Spammer untersucht.
Die E-Mails behaupten, dass Vinny Troia hinter den gefälschten Angriffen steckte, und geben auch fälschlicherweise an, dass Troia mit der berüchtigten Hackergruppe The Dark Overlord in Verbindung gebracht wird – den gleichen schlechten Schauspielern, die die fünfte Staffel von Orange Is the New Black durchgesickert haben. In Wirklichkeit ist Troia ein bekannter Cybersicherheitsforscher, der zwei Dark-Web-Sicherheitsunternehmen betreibt, NightLion und Shadowbyte.
Diese E-Mails sieht so aus:
Sende-IP: 153.31.119.142 (https://t.co/En06mMbR88)
Von: eims@ic.fbi.gov
Betreff: Dringend: Bedrohungsakteur in Systemen pic.twitter.com/NuojpnWNLh— Spamhaus (@spamhaus) 13. November 2021
Wie Bleeping Computer feststellte, gelang es den Hackern, E-Mails an über 100.000 Adressen zu versenden, die alle aus der Datenbank der American Registry for Internet Numbers (ARIN) stammen. Ein Bericht von Bloomberg besagt, dass Hacker das öffentlich zugängliche E-Mail-System des FBI verwendeten, was die E-Mails umso legitimer erscheinen ließ. Der Cybersicherheitsforscher Kevin Beaumont bestätigt auch das legitime Erscheinungsbild der E-Mail und stellt fest, dass die Header mithilfe des Domain Keys Identified Mail (DKIM)-Prozesses, der Teil des Systems ist, mit dem Gmail zum Aufkleben von Markenlogos auf verifizierte Unternehmens-E-Mails verwendet wird, als von FBI-Servern stammend authentifiziert werden.< /p>
Die E-Mail wurde von diesen FBI-internen Servern gesendet, gemäß den Headern (die mit DKIM validiert werden).
dap00025.str0.eims.cjis – 10.67.35.50
wvadc-dmz-pmo003-fbi.enet.cjis
dap00040.str0.eims.cjis – 10.66. 2.72
Bevor jemand von der Klippe in Russland wegläuft, würde ich Webapps überprüfen.
— Kevin Beaumont (@GossiTheDog) 13. November 2021
Das FBI reagierte in einer Pressemitteilung auf den Vorfall und stellte fest, dass es sich um eine „andauernde Situation“ handele und dass „die betroffene Hardware offline genommen wurde“. Abgesehen davon sagt das FBI, dass es derzeit keine weiteren Informationen hat, die es teilen kann.
Laut Bleeping Computer wurde die Spam-Kampagne wahrscheinlich als Versuch durchgeführt, Troia zu diffamieren. In einem Tweet spekuliert Troia, dass eine Person mit dem Namen „Pompompurin“ den Angriff gestartet haben könnte. Wie Bleeping Computer feststellt, hat dieselbe Person in der Vergangenheit angeblich versucht, den Ruf von Troia auf ähnliche Weise zu schädigen.
Ein Bericht des Computersicherheitsreporters Brian Krebs verbindet Pompompurin ebenfalls mit dem Vorfall – die Person soll ihm von einer FBI-E-Mail-Adresse aus eine Nachricht geschickt haben, als die Angriffe gestartet wurden: „Hallo, Pompompurin. Überprüfen Sie die Kopfzeilen dieser E-Mail, die tatsächlich vom FBI-Server kommt.“ KrebsOnSecurity bekam sogar die Gelegenheit, mit Pompompurin zu sprechen, der behauptet, dass der Hack die Sicherheitslücken in den E-Mail-Systemen des FBI aufzeigen sollte.
„Ich hätte das zu 1000 Prozent nutzen können Senden Sie mehr seriös aussehende E-Mails, verleiten Sie Unternehmen zur Datenübergabe usw.“, sagte Pompompurin in einer Erklärung gegenüber KrebsOnSecurity. Die Person teilte der Verkaufsstelle auch mit, dass sie eine Sicherheitslücke im Law Enforcement Enterprise (LEEP)-Portal des FBI ausgenutzt und es geschafft habe, sich mit einem Einmalpasswort, das in den HTML-Code der Seite eingebettet ist, für ein Konto anzumelden. Pompompurin behauptet, von dort aus in der Lage gewesen zu sein, die Adresse und den E-Mail-Text des Absenders zu manipulieren und die massive Spam-Kampagne durchzuführen.
Mit dieser Art von Zugriff hätte der Angriff viel schlimmer sein können als eine falsche Warnung, die Systemadministratoren in höchste Alarmbereitschaft versetzt. Anfang dieses Monats ordnete Präsident Joe Biden eine Fehlerbehebung an, die zivile Bundesbehörden auffordert, alle bekannten Bedrohungen zu beheben. Im Mai unterzeichnete Biden eine Durchführungsverordnung, die darauf abzielt, die Cyberabwehr des Landes nach schädlichen Angriffen auf die Colonial Pipeline und SolarWinds zu verbessern.