Fim-de-semana passado, hackers desconhecidos conseguiram invadir o servidor de e-mail do Federal Bureau of Investigation (FBI). Hackers usaram o acesso para enviar cartas que imitavam alertas do FBI sobre ataques cibernéticos e roubo de dados.
Spamhaus, uma organização sem fins lucrativos de rastreamento de spam, relatado que esses e-mails foram entregues a dezenas de milhares de destinatários em duas ondas. Ao mesmo tempo, especialistas acreditam que cerca de 100,000 cartas são apenas uma pequena parte da campanha.
De acordo com Spamhaus, as mensagens vieram de um endereço legítimo [email protected], com IP 153.31.119.142 (mx-east-ic.fbi.gov), e a linha de assunto dizia “Urgente: Ator de ameaça em sistemas”.
Spamhaus disse que a correspondência foi seguida por uma série de telefonemas e cartas de organizações preocupadas buscando mais informações sobre os ataques aos escritórios do FBI.. Embora as cartas fossem claramente falsas (eles continham muitos erros ortográficos), o boletim informativo causou sério pânico, conforme as cartas passaram nas verificações de segurança SPF e DKIM, aquilo é, eles foram enviados de servidores reais do FBI e contornaram todos os filtros de spam.
Pior, mensagens dos atacantes relataram que um certo Vinny Troia foi o responsável por esses ataques. Troy é um renomado pesquisador de segurança cibernética que lidera pesquisas sobre darknet na NightLion Security e Shadowbyte. O fato dos invasores culparem Vinnie Troy por ataques inexistentes foi bem comentado pelo renomado especialista em segurança da informação Markus Hutchins.
O próprio Tróia escreve no Twitter que, na opinião dele, o acidente é obra de um homem conhecido como pompomourin. No passado, esta pessoa já esteve envolvida em incidentes destinados a prejudicar a reputação do investigador.
Além disso, algumas horas antes do ataque ao servidor de correio do FBI e do envio de spam, pompompurin entrou em contato com o pesquisador no Twitter e o aconselhou a “aproveitar” o que estava para acontecer.
O FBI já confirmou o arrombamento. A agência disse que já estava investigando o incidente, e o servidor comprometido foi temporariamente desligado para impedir o envio de spam.
Aparentemente, os hackers aproveitaram uma vulnerabilidade no software rodando no servidor para enviar mensagens. Ao mesmo tempo, a máquina comprometida foi isolada do correio corporativo da agência e não deu acesso a nenhum dado ou informação pessoal na rede do FBI.
O conhecido jornalista de segurança cibernética Brian Krebs observa que o LEEP (Portal Empresarial de Aplicação da Lei) permitiu que qualquer pessoa solicitasse uma conta, mas o processo de registro exigia o preenchimento de informações de contato.
Como resultado, usando um script especial, os invasores conseguiram alterar os parâmetros, especifique o assunto e o texto do e-mail de sua escolha, e automatizar o envio de mensagens.
Deixe-me lembrá-lo que eu também escrevi isso Lista de suspeitos de terrorismo monitorados pelo FBI vazou para a rede.
