O sistema de e-mail do FBI foi hackeado para enviar avisos falsos de segurança cibernética

Uma falha no site do FBI permitiu que hackers usassem o endereço de e-mail legítimo do FBI

Os hackers atacaram os servidores de e-mail do Federal Bureau of Investigation (FBI), enviando milhares de mensagens falsas que dizem que seus destinatários se tornaram vítimas de um “ataque em cadeia sofisticado”, relatado pela primeira vez por Bleeping Computer. Os e-mails foram inicialmente descobertos pelo Projeto Spamhaus, uma organização sem fins lucrativos que investiga spammers por e-mail.

Os e-mails afirmam que Vinny Troia estava por trás dos ataques falsos e também afirmam falsamente que Troia está associada ao infame grupo de hackers, The Dark Overlord – os mesmos maus atores que vazaram a quinta temporada de Orange Is the New Black. Na realidade, Troia é um pesquisador de segurança cibernética proeminente que dirige duas empresas de segurança dark web, NightLion e Shadowbyte.

Esses e-mails têm a seguinte aparência: IP de envio: 153.31.119.142 (https://t.co/En06mMbR88) De: eims@ic.fbi.gov Assunto: Urgente: Agente de ameaça nos sistemas pic.twitter.com/NuojpnWNLh – Spamhaus ( @spamhaus) 13 de novembro de 2021

Conforme observado por Bleeping Computer, os hackers conseguiram enviar e-mails para mais de 100.000 endereços, todos retirados do banco de dados do American Registry for Internet Numbers (ARIN). Um relatório da Bloomberg diz que os hackers usaram o sistema de e-mail público do FBI, fazendo com que os e-mails pareçam ainda mais legítimos. O pesquisador de segurança cibernética Kevin Beaumont também atesta a aparência legítima do e-mail, afirmando que os cabeçalhos são autenticados como provenientes de servidores do FBI usando o processo Domain Keys Identified Mail (DKIM) que faz parte do sistema que o Gmail usa para colar logotipos de marcas em e-mails corporativos verificados.

O e-mail foi enviado a partir desses servidores internos do FBI, de acordo com os cabeçalhos (que são validados com DKIM). dap00025.str0.eims.cjis – 10.67.35.50 wvadc-dmz-pmo003-fbi.enet.cjis dap00040.str0.eims.cjis – 10.66.2.72 Antes de alguém correr do penhasco da Rússia, eu verificaria os aplicativos da web. – Kevin Beaumont (@GossiTheDog) 13 de novembro de 2021

O FBI respondeu ao incidente em um comunicado à imprensa, observando que é uma “situação contínua” e que “o hardware afetado foi colocado offline.” Além disso, o FBI diz que não tem mais informações para compartilhar no momento.

De acordo com a Bleeping Computer, a campanha de spam provavelmente foi realizada como uma tentativa de difamar Troia. Em um tweet, Troia especula que um indivíduo que atende pelo nome de “Pompompurin” pode ter lançado o ataque. Como Bleeping Computer observa, essa mesma pessoa supostamente tentou prejudicar a reputação de Troia de maneiras semelhantes no passado.

Um relatório do repórter de segurança de computador Brian Krebs também conecta Pompompurin ao incidente – o indivíduo supostamente enviou uma mensagem para ele de um endereço de e-mail do FBI quando os ataques foram lançados, declarando: “Olá, seu pompompurin. Verifique os cabeçalhos deste e-mail, ele está realmente vindo do servidor do FBI. ” O KrebsOnSecurity ainda teve a chance de falar com Pompompurin, que afirma que o hack foi feito para destacar as vulnerabilidades de segurança nos sistemas de e-mail do FBI.

“Eu poderia ter 1000 por cento usado isso para enviar e-mails com aparência mais legítima, enganar as empresas para que entreguem dados, etc.”, disse Pompompurin em um comunicado ao KrebsOnSecurity. O indivíduo também disse à agência que explorou uma lacuna de segurança no portal Law Enforcement Enterprise (LEEP) do FBI e conseguiu se inscrever para uma conta usando uma senha de uso único incorporada no HTML da página. A partir daí, Pompompurin afirma que foram capazes de manipular o endereço do remetente e o corpo do e-mail, executando uma campanha massiva de spam.

Com esse tipo de acesso, o ataque poderia ter sido muito pior do que um alerta falso que colocou os administradores do sistema em alerta máximo. No início deste mês, o presidente Joe Biden determinou uma correção de bug que exige que as agências federais civis corrijam quaisquer ameaças conhecidas. Em maio, Biden assinou uma ordem executiva que visa melhorar as defesas cibernéticas do país após os ataques prejudiciais ao Oleoduto Colonial e SolarWinds.

#tecnologia #tecnologia #tecnologia #tecnologia #cíbersegurança #notícia

John Doe

Curioso e apaixonado por tecnologia.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *