Федеральное бюро расследований США (ФБР) в субботу подтвердило, что неизвестные злоумышленники взломали один из его серверов электронной почты для рассылки ложных сообщений о «комплексной кибер-атаке».
Инцидент, о котором впервые сообщила некоммерческая организация SpamHaus, занимающаяся анализом угроз, заключался в рассылке мошеннических электронных писем с темой «Срочно: Злоумышленники в информационных системах» с легального адреса электронной почты ФБР «[email protected][.]gov», в которых в атаке обвинялся Винни Тройя, исследователь безопасности и основатель компаний Night Lion Security и Shadowbyte, занимающихся Darknet-разведкой, а также утверждалось, что он связан с хакерской организацией TheDarkOverlord.
SpamHaus, ссылаясь на собственные данные телеметрии, сообщает, что рассылка производилась двумя волнами - незадолго до 5:00 утра и вскоре после 7:00 утра по Гринвичу.
По словам исследователя Kryptos Logic Маркуса Хатчинса, цель, похоже, состоит в том, чтобы дискредитировать Тройю. «Винни Тройа написал книгу, в которой раскрыл информацию о хакерской группе TheDarkOverlord. Вскоре после этого кто-то начал атаковать кластеры ElasticSearch, оставляя его имя. Позже был взломан его Twitter, затем его веб-сайт. Теперь взломанный сервер электронной почты ФБР отправляет это» - написал Хатчинс в Твиттере.
Брайан Кребс из Krebs on Security, который также получил сообщение от злоумышленника, в своем независимом отчете подробно описал, что «спам-сообщения были отправлены путем эксплуатации небезопасного кода в онлайн-портале ФБР, предназначенном для обмена информацией с государственными и местными правоохранительными органами».
Pompompurin - как называет себя хакер - рассказал Кребсу, что взлом был осуществлен с помощью уязвимости в портале ФБР Law Enforcement Enterprise Portal (LEEP), который не только позволял любому человеку подать заявку на заведение аккаунта, но и предоставлял одноразовый пароль, который отправляется заявителю для подтверждения регистрации - что фактически позволяло перехватывать и подменять HTTP-запросы собственными фальшивыми сообщениями на тысячи адресов электронной почты.
«ФБР известно о неправильной конфигурации программного обеспечения, которая временно позволила атакующему использовать портал LEEP для отправки поддельных электронных писем» - говорится в заявлении агентства. «Хотя незаконные электронные письма отправлялись с сервера ФБР, этот сервер был предназначен для рассылки уведомлений для LEEP и не являлся частью корпоративной почтовой службы ФБР. Ни один из злоумышленников не смог получить доступ или скомпрометировать какие-либо данные в сети ФБР».
«Должен ли я быть польщен тем, что дети, взломавшие серверы электронной почты ФБР, решили сделать это от моего имени?» - позже написал Тройа в Твиттере, намекая на то, что Pompompurin был организатором клеветнической кампании.
Ранее в тот же день владелец аккаунта Pompompurin в Твиттере заявил: «Я не занимаюсь никакой незаконной деятельностью. Пожалуйста, обратите внимание, что этим аккаунтом также управляет Винни Тройя».
Источник: https://thehackernews.com
