Social media

Zhakował serwery FBI i rozsyłał „pilne” ostrzeżenia o fałszywych cyberatakach

Fot. jossuppy / Flickr
Fot. jossuppy / Flickr

Nieznany sprawca zhakował serwery poczty elektronicznej FBI i rozsyłał z ich pomocą „pilne” ostrzeżenia o fałszywych cyberatakach, informując odbiorców, że doszło do naruszenia bezpieczeństwa w ich sieciach, a dane tam przetwarzane zostały wykradzione.

Ostrzeżenia rozsyłane przez zhakowany system informowały o „wyszukanym ataku łańcuchowym”, za którym miała rzekomo stać grupa cyberprzestępcza dowodzona przez Vinny'ego Troia. 

Duży zasięg kampanii

Według organizacji pozarządowej SpamHaus zajmującej się monitorowaniem zjawiska spamu i powiązanych z nim cyberzagrożeń, maile ostrzegające o rzekomym cyberataku, wysłane z przechwyconych serwerów FBI w dwóch wykrytych falach, można liczyć w dziesiątkach tysięcy - eksperci oceniają jednak, że to zaledwie niewielki fragment całej kampanii cyberprzestępców. 

Fałszywe wiadomości były wysyłane z prawdziwego adresu e-mail - [email protected], który działa w strukturze korporacyjnego portalu FBI (LEEP). Wiadomości zatytułowane były: „Pilne: wykryto zagrożenie w systemie”. Wszystkie nadane były z adresu IP należącego do FBI, czyli 153.31.119.142 - pisze serwis BleepingComputer.

Fałszywe maile, realne zagrożenie

Według ekspertów SpamHaus, fałszywa korespondencja została do tej pory odebrana przez co najmniej 100 tys. skrzynek pocztowych, co stanowi „konserwatywny szacunek”. 

FBI potwierdziło, że korespondencja jest fałszywa. Organ poinformował również, że pracuje nad rozwiązaniem całej sytuacji, zaznaczając przy tym, że jego linia informacyjna jest obecnie „zalewana” telefonami od podmiotów zmartwionych otrzymaniem fałszywego ostrzeżenia o cyberataku.

W sprawę włączyła się również Centralna Agencja Bezpieczeństwa Informacyjnego (CISA). 

W przesłanym serwisowi oświadczeniu FBI poinformowało, że atakujący wykorzystali do swoich celów wadliwą konfigurację oprogramowania na serwerach poczty elektronicznej organu. 

Wiadomości istotnie zostały nadane z serwera zarządzanego przez FBI - maszyna jednak była izolowana od poczty korporacyjnej i nie umożliwiała zdobycia jakiejkolwiek formy dostępu do informacji pozwalających pozyskać dane, w tym - dane osobowe z sieci tej służby. 

„FBI wie o błędzie konfiguracyjnym, który pozwolił atakującym wykorzystać portal LEEP do wysyłki fałszywych maili. LEEP to część infrastruktury IT FBI wykorzystywana do komunikacji z lokalnymi i federalnymi organami ścigania w ramach współpracy” - poinformowało Federalne Biuro Śledcze. „Choć fałszywe maile były wysyłane przez serwer należący do FBI, był on wykorzystywany jedynie do wysyłania powiadomień w ramach LEEP i nie stanowił części korporacyjnej usługi e-mail FBI. Żaden podmiot nie uzyskał możliwości naruszenia jakichkolwiek danych, lub też danych osobowych przetwarzanych w sieci FBI” - dodał organ, podkreślając że tak szybko, jak tylko zyskano informacje o wykorzystaniu podatności oprogramowania, zmieniono jego konfigurację i wydano ostrzeżenie w związku z fałszywymi mailami.

Na portalu FBI mógł się zarejestrować… każdy 

Niezależny badacz cyberbezpieczeństwa i bloger Brian Krebs przekazał, że od osoby stojącej za atakiem na serwer pocztowy FBI dowiedział się, że  na portalu LEEP swoje konto mógł założyć w praktyce każdy - wystarczyło wypełnić odpowiedni formularz i podać w nim swoje dane kontaktowe.

„Kluczowym krokiem tego procesu jest otrzymanie przez osobę ubiegającą się o założenie swojego profilu e-maila konfiguracyjnego z adresu [email protected]” - powiedział Krebs i dodał, że mail taki zawiera jednorazowy kod uwierzytelniający. To właśnie te informacje pozwoliły atakującemu z wykorzystaniem skryptu stworzyć mechanizm masowej wysyłki maili z fałszywym ostrzeżeniem o cyberatakach.

Nie wiadomo, kto stoi za atakiem

Obecnie nie wiadomo, kto dopuścił się ataku na FBI. BleepingComputer zwraca uwagę, że najpewniej był to jednak ktoś, kto chce zaszkodzić założycielowi firmy wywiadowczej Shadowbyte skoncentrowanej na działaniach w darknecie. Vinny Troia, bo o nim mowa, wymieniony był w fałszywej korespondencji jako sprawca rzekomych cyberataków. 

Podejrzenie pada na grupę RaidForums, która ma z Troią długotrwały zatarg. 

Sam Vinny Troia skomentował sprawę na Twitterze, wskazując jako możliwego sprawcę osobę posługującą się nickiem „pompomourin”. Wcześniej człowiek ten zaangażowany był już w działania, które miały zniszczyć reputację Troi i obciążyć go odpowiedzialnością za cyberataki, których ten się nie dopuścił.

„Pompomourin” zhakował również stronę Narodowego Centrum Dzieci Zaginionych i napisał tam wówczas, że Troia to pedofil. Człowiek posługujący się tajemniczym pseudonimem miał również nawiązać kontakt z Troią kilka godzin przed startem wysyłki fałszywych maili i napisać mu jedno słowo: „miłego”. 


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected] Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image
Fot. Reklama

Komentarze

    Czytaj także