Хакеры грамотно заюзали электронную почту ФБР США для сведения счетов со своим оппонентом. Международная НКО Spamhaus Project сообщила об обнаружении спам-кампаний, в электронных письмах которых
от имени американской спецслужбы рассылались предупреждения о взломе сети получателя и краже данных, виновником упоминаемых атак был назван Vinny Troia, основатель компании Shadowbyte, специализирующейся на расследованиях в сфере даркнета.
Сообщения рассылались
в две волны с реальных адресов ФБР, eims@ic.fbi.gov и IP-адреса 153.31.119.142 (
mx-east-ic.fbi.gov), соответствующие сведения содержали и заголовки сообщений (dap00025.str0.eims.cjis, wvadc-dmz-pmo003-fbi.enet.cjis, dap00040.str0.eims.cjis), что было проверено DomainKeys Identified Mail.
По оценкам специалистов,
охват приблизительный охват составил не менее 100 000 почтовых ящиков, а по факту мог иметь более крупные показатели. Список получателей был получен из базы данных ARIN.
По началу представители ФБР и CISA отказались комментировать инцидент, сославшись на загруженность службы поддержки звонками обеспокоенных получателей сообщений, которые пытались выяснить подробности фейковых атак, но в целом признали факт взлома своей инфраструктуры.
Разобравшись в ситуации,
ФБР списали все на неверную конфигурацию ПО, которая позволила злоумышленникам использовать корпоративный портал правоохранительных органов (LEEP) для отправки поддельных электронных писем. LEEP - это ИТ-инфраструктура ФБР, используемая для связи с партнерами из правоохранительных органов штата и местными властями. По заверению представителей спецслужбы, взломанный сервер был изолирован от корпоративной почты агентства и не имел доступа ко внутренней сети.
Согласно
расследованию Брайана Кребса,
LEEP позволял подать заявку на получение учетной записи. Процесс регистрации требовал заполнения контактной информации.
Подтверждение регистрации приходит по электронной почте от eims@ic.fbi.gov с одноразовым паролем. Этот код и контактные данные заявителя попадали в HTML-код веб-сайта.
Хакер при этом мог изменить параметры, указав тему и текст электронного письма по своему выбору, и добиться автоматизации рассылки сообщений. Тем временем,
невольный участник событий Vinny Troia назвал своего заказчика: им оказался некий pompompurin и его команда, который и прежде проворачивал аналогичные хакерские делишки против исследователя. За несколько часов до инцидента хакер предупредил своего визави о предстоящей активности, направленной на его дискредитацию.
Игра игрой, а вот американским силовиками пришлось серьезно поерзать, пытаясь объяснить, что взрыв газа вовсе не взрыв, а хлопок, что выглядело как: нас взломали, но на самом деле - не взламывали.