Почтовые сервера ФБР взломаны в результате хакерской атаки
Почтовые серверы Федерального бюро расследований (ФБР) подверглись хакерской атаке, после чего рассылали тысячи фальшивых сообщений, в которых говорится, что их получатели стали жертвами "изощренной цепной атаки", о чем впервые сообщил Bleeping Computer. Электронные письма были первоначально обнаружены The Spamhaus Project, некоммерческой организацией, которая расследует спамерские кампании.
В электронных письмах утверждается, что Винни Троя (Vinny Troia) стоял за фальшивыми атаками, а также ложно утверждается, что Троя связан с известной хакерской группой - The Dark Overlord. На самом деле Троя - известный исследователь в области кибербезопасности, который руководит двумя компаниями по обеспечению безопасности в дарк нете, NightLion и Shadowbyte.
Как отмечает Bleeping Computer, хакерам удалось разослать электронные письма более чем на 100 000 адресов, все из которых были извлечены из базы данных Американского реестра Интернет-номеров (ARIN). В отчете Bloomberg говорится, что хакеры использовали общедоступную систему электронной почты ФБР, из-за чего электронные письма казались более легальными. Исследователь кибербезопасности Кевин Бомонт также подтверждает законный вид электронного письма, заявляя, что заголовки аутентифицируются как исходящие с серверов ФБР с использованием процесса почтового сообщения с идентификационными ключами домена (DKIM), являющегося частью системы, которую Gmail использует для маркировки логотипов бренда на проверенных корпоративных электронных письмах.
ФБР отреагировало на инцидент пресс-релизом, отметив, что это "штатная ситуация" и что "затронутое оборудование было отключено". Помимо этого, ФБР заявляет, что в настоящее время у него нет дополнительной информации, которой можно было бы поделиться.
По данным Bleeping Computer, рассылка спама, вероятно, была проведена как попытка опорочить Трою. В своем твите Троя предполагает, что атаку мог предпринять человек по имени "Pompompurin".
Репортер по компьютерной безопасности Брайан Кребс также связывает Помпомпурина с этим инцидентом - человек якобы отправил ему сообщение с адреса электронной почты ФБР, когда были начаты атаки, со словами: "Привет, это П омпомпурин. Проверьте заголовки этого электронного письма, оно действительно пришло с сервера ФБР". KrebsOnSecurity даже получил возможность поговорить с предполагаемым взломщиком, который утверждает, что атака была направлена на выявление уязвимостей в системе безопасности в почтовых системах ФБР.
"Я мог бы на 1000 процентов использовать это, чтобы отправлять больше легальных электронных писем, обманывать компании для передачи данных и т. д.", - сказал Помпомпурин в заявлении для KrebsOnSecurity. Этот человек также сообщил изданию, что они воспользовались уязвимостью в безопасности на портале правоохранительного предприятия ФБР (LEEP) и сумели зарегистрировать учетную запись, используя одноразовый пароль, встроенный в HTML-код страницы. Взломщик утверждает, что хакеры смогли манипулировать адресом отправителя и телом электронной почты, выполнив масштабную спам-кампанию.
При таком доступе атака могла быть намного серьезнее, чем просто ложное оповещение, которое ставило системных администраторов в состояние повышенной готовности. Ранее в этом месяце президент Джо Байден поручил исправить ошибку, требующую от гражданских федеральных агентств исправления любых известных угроз. В мае Байден подписал распоряжение, направленное на улучшение киберзащиты страны после разрушительных атак на Colonial Pipeline и SolarWinds.
По материалам: The Verge.
