В минувшие выходные почтовый сервер Федерального бюро расследований (ФБР) был взломан. Неизвестные хакеры использовали полученный доступ для рассылки писем, которые имитировали предупреждения ФБР о кибератаках и краже данных.
Эксперты некоммерческой организации Spamhaus, занимающейся отслеживанием спама, сообщили, что такие письма были доставлены десяткам тысяч адресатов двумя волнами. При этом эксперты считают, что около 100 000 писем — лишь небольшая часть кампании.
По данным Spamhaus, сообщения приходили с легитимного адреса eims@ic.fbi.gov, с IP 153.31.119.142 (mx-east-ic.fbi.gov), а в теме письма значилось «Urgent: Threat actor in systems» («Срочно: злоумышленник в системах»).
Spamhaus говорят, что после этой рассылки на офисы ФБР обрушился шкал телефонных звонков и писем от обеспокоенных представителей организаций, которые хотели получить дополнительную информацию об атаках. Хотя письма явно были фейковыми (содержали множество орфографических ошибок), рассылка посеяла нешуточную панику, так как письма прошли проверку безопасности SPF и DKIM, то есть были отправлены с реальных серверов ФБР и обошли все спам-фильтры.
Хуже того, в посланиях злоумышленников сообщалось, что ответственность за эти атаки лежит на неком Винни Трое (Vinny Troia). Троя – известный ИБ-исследователь, который возглавляет изучение даркнета в компаниях NightLion Security и Shadowbyte. Тот факт, что злоумышленники возложили ответственность за несуществующие атаки на Винни Трою, хорошо прокомментировал известный ИБ-специалист Маркус Хатчинс. У себя в Twitter он пишет:
«Винни Троя написал книгу, проливающую свет на [деятельность] хакерской группы TheDarkOverlord. Вскоре после этого кто-то начал стирать кластеры ElasticSearch, оставляя после себя его имя. Позже был взломан его Twitter, затем его сайт. Теперь же кто-то разослал это со взломанного почтового сервера ФБР».
Сам Троя пишет в Twitter, что, по его мнению, случившееся – дело рук человека, известного под ником pompomourin. В прошлом этот человек уже был связан с инцидентами, направленными на подрыв репутации исследователя.
«В последний раз они [pompomourin] взломали национальный центр пропавших без вести детей, и разместили пост блоге, сообщив, что я педофил», — рассказал журналистам Bleeping Computer Троя.
Более того, за несколько часов до атаки на почтовый сервер ФБР и рассылки спама, pompompurin связался с исследователем в Twitter и посоветовал «наслаждаться» тем, что произойдет в скором времени.
Представители ФБР уже подтвердил факт взлома. Агентство заявило, что уже проводится расследование инцидента, а скомпрометированный сервер временно отключен, чтобы остановить рассылку спама.
Судя по всему, хакеры воспользовались некой уязвимостью в программном обеспечении, работающем на сервере, для отправки сообщений. При этом скомпрометированная машина была изолирована от корпоративной почты агентства и не давала доступа к каким-либо данным или личной информации в сети ФБР.
Известный ИБ-журналист Брайан Кребс отмечает, что портал LEEP (Law Enforcement Enterprise Portal) позволял любому подать заявку на получение учетной записи, но процесс регистрации требовал заполнения контактной информации.
«Важным шагом в этом процессе являлось то, что кандидаты получали подтверждение с одноразовым паролем по электронной почте, с адреса eims@ic.fbi.gov. И этот код, а также контактные данные заявителя утекали через HTML-код страницы», — пишет Кребс.
В итоге, используя специальный скрипт, злоумышленники имели возможность подменить параметры, указав тему и текст электронного письма по своему выбору, и автоматизировать отправку сообщений.