По информации Bleeping Computer и проекта Spamhaus, неизвестный хакер взломал почтовую инфраструктуру ФБР и начал массово рассылать фейковые письма о фальшивых кибератаках с внутренних почтовых серверов агентства. Все емейлы подписаны криптографическими ключами Бюро. Данные письма получили уже более нескольких тысяч системных администраторов различных американских компаний и госструктур.
Представители Spamhaus пояснили, что все сообщения со спамом от ФБР поступают с официального адреса электронной почты eims@ic.fbi.gov, который находится на портале правоохранительных органов ФБР (LEEP), и содержат тему «Срочно: злоумышленник в системе». Отправитель подтвержден, в соответствии с заголовками, с помощью DKIM (Domain Keys Identified Mail — метода e-mail-аутентификации). В каждом сообщении содержится, якобы, предупреждения ФБР о взломе сети получателей и краже их данных, которые совершил ИБ-эксперт и разработчик Винни Троя (Vinny Troia) — глава проектов по обнаружения незаконного использования данных в интернете и утечек данных NightLion и Shadowbyte.
Винни Троя предполагает, что за рассылкой спама стоят члены хакерского сообщества RaidForums, которые имеют давнюю вражду с ним и ранее уже делали различные взломы ресурсов компаний, обвиняя потом в этом его.
SpamHaus пока что зафиксировала две волны спама от ФБР с десятками тысяч таких сообщений каждая. Ее специалисты считают, что это лишь небольшая часть кампании и рассылка будет продолжаться.
Скомпрометированы сервера ФБР: dap00025.str0.eims.cjis (10.67.35.50), wvadc-dmz-pmo003-fbi.enet.cjis, dap00040.str0.eims.cjis (10.66.2.72) и mx-east-ic.fbi.gov (153.31.119.142).
ФБР подтвердило Bleeping Computer, что содержание всех электронных писем с одинаковой темой является фальшивкой и что они работают над решением проблемы. Также после первой волны рассылки их служба поддержки была наводнена звонками от обеспокоенных администраторов различных компаний страны, часть которых была в панике.
Эксперты отрасли подтвердили, что ФБР начало отключать часть своих внутренних серверов, чтобы локализовать проблему. Сейчас нет доступа в систему LEEP, откуда шла рассылка спама.
ИБ-эксперт Брайан Креббс пояснил, что хакер нашел уязвимость в работе серверов ФБР на портале системы LEEP — это шлюз, обеспечивающий доступ правоохранительных органов, разведывательных групп и органов уголовного правосудия к полезным ресурсам. Злоумышленник обнаружил, что с помощью этого портала, после получения одноразового пароля в HTML-коде веб-страницы, можно легально пересылать сообщения внешним адресатам от лица ФБР.
Источник
Последнее редактирование:
