Электронную почту ФБР взломали для рассылки тревожного спама
Федеральное бюро расследований США в субботу подтвердило взлом неизвестными злоумышленниками одного из серверов электронной почты с целью рассылки фейковых сообщений об «изощренной цепочке атак».
Этот прецедент, о котором первой публично заявила некоммерческая служба по обнаружению угроз безопасности SpamHaus, представлял рассылку фиктивных предупреждающих писем с темой «Срочно: злоумышленники в системах».
Письма отправлялись с легитимного адреса ФБР eims@ic.fbi.gov и обвиняли в атаке Винни Троя, исследователя кибербезопасности и основателя сервисов Night Lion Security и Shadowbyte, также указывая на его причастность к хакерской группировке TheDarkOverlord.
В SpamHaus привели собственные телеметрические данные, отметив, что рассылка состояла из двух волн: первая произошла незадолго до 5:00 UTC, а вторая чуть позже 7:00 UTC.
При этом, как говорит исследователь из Krypto Logic, Маркус Хатчинс, целью спам-атаки было дискредитировать Троя.
«Винни Троя написал книгу, раскрывающую информацию о хакерской группировке TheDarkOverlord. Вскоре после этого некто начал стирать кластеры ElasticSearch, оставляя в качестве следа его имя. Далее последовал взлом его твиттера, а затем и сайта. Теперь еще эта рассылка с сервера ФБР». — поделился в своем твите Хатчинс.
Брайан Кребс из Krebs on Security, который получил отдельное сообщение от злоумышленников, в своем отчете сообщил, что «Спам-сообщения были отправлены путем эксплуатации небезопасного кода на онлайн-портале ФБР, предназначенном для обмена информацией с местными правоохранительными органами».
Pompompurin, под этим образом в сети выступает предполагаемый хакер, сообщил Krebs, что взлом удалось реализовать за счет уязвимости в Law Enforcement Enterprise Portal (LEEP), которая не только позволяла любому желающему зарегистрировать аккаунт, но также допускала утечку одноразового пароля, отправляемого для подтверждения регистрации. Это, по сути, давало возможность перехватывать и изменять HTTP-запросы, рассылая собственные липовые сообщения по тысячам адресов.
«В ФБР знают об ошибках конфигурации, которые временно позволили хакерам использовать LEEP для отправки фиктивных писем», — заявило агентство. — «Но, несмотря на то, что подложные сообщения исходили с сервера, обслуживаемого ФБР, этот сервер был выделен под отправку уведомлений для LEEP и не являлся частью корпоративной службы электронной почты ФБР. Ни один злоумышленник не мог получить доступ или скомпрометировать какие-либо данные из сети ФБР».
«Должно ли мне льстить, что ребятишки, взломавшие сервер ФБР, решили сделать это в честь моего имени?» — позже написал твит Троя, попутно намекая, что зачинщиком всей этой клеветнической кампании был Pompompurin.
Ранее в тот же день стоящие за учетной записью Pompompurin заявили: «Я не причастен ни к какой незаконной деятельности. Имейте ввиду, что этот аккаунт также принадлежит Винни Троя».