Bilgisayar korsanları, Federal Soruşturma Bürosu’nun (FBI) e-posta sunucularını hedef alarak, ilk kez Bleeping Computer tarafından bildirilen, alıcılarının “gelişmiş bir zincirleme saldırının” kurbanı olduklarını söyleyen binlerce sahte mesaj gönderdi. E-postalar ilk olarak, e-posta spam göndericilerini araştıran kar amacı gütmeyen bir kuruluş olan The Spamhaus Project tarafından ortaya çıkarıldı.
E-postalar, sahte saldırıların arkasında Vinny Troia’nın olduğunu iddia ediyor ve ayrıca Troia’nın kötü şöhretli bilgisayar korsanlığı grubuyla ilişkili olduğunu yanlış bir şekilde belirtiyor. The Dark Overlord – Orange Is the New Black’in beşinci sezonunu sızdıran aynı kötü oyuncular. Gerçekte Troia, NightLion ve Shadowbyte adlı iki karanlık web güvenlik şirketini yöneten önde gelen bir siber güvenlik araştırmacısıdır.
Bu e-postalar şöyle görünür:
Gönderen IP: 153.31.119.142 (https://t.co/En06mMbR88)
Gönderen: eims@ic.fbi.gov
Konu: Acil: Sistemlerdeki tehdit aktörü pic.twitter.com/NuojpnWNLh— Spamhaus (@spamhaus) 13 Kasım 2021
Bleeping Computer tarafından belirtildiği gibi, bilgisayar korsanları 100.000’den fazla adrese e-posta göndermeyi başardı, bunların tümü Amerikan İnternet Numaraları Kayıt Defteri (ARIN) veri tabanından alınmıştır.
Siber güvenlik araştırmacısı Kevin Beaumont, e-postanın meşru görünümünü de onaylıyor ve başlıkların, Gmail’in doğrulanmış kurumsal e-postalara marka logolarını yapıştırmak için kullandığı sistemin bir parçası olan Etki Alanı Anahtarları Tanımlanmış Posta (DKIM) işlemi kullanılarak FBI sunucularından geldiğinin doğrulandığını belirtiyor.< /p>
E-posta, başlıklara göre (DKIM ile doğrulanan) bu FBI dahili sunucularından gönderildi.
dap00025.str0.eims.cjis – 10.67.35.50
wvadc-dmz-pmo003-fbi.enet.cjis
dap00040.str0. eims.cjis – 10.66.2.72
Birisi Rusya uçurumundan aşağı inmeden önce web uygulamalarını kontrol ederdim.
— Kevin Beaumont (@GossiTheDog) 13 Kasım 2021
FBI olaya bir basın açıklamasıyla yanıt verdi ve bunun “devam eden bir durum” olduğunu ve “etkilenen donanımın çevrimdışına alındığını” belirtti. Bunun dışında, FBI şu anda paylaşabileceği daha fazla bilgiye sahip olmadığını söylüyor.
Bleeping Computer’a göre, spam kampanyası muhtemelen Troia’yı karalama girişimi olarak yürütüldü. Troia, bir tweet’te saldırıyı “Pompompurin” adındaki bir kişinin başlatmış olabileceğini düşünüyor.
Bu e-postanın başlıklarını kontrol edin, aslında FBI sunucusundan geliyor.” KrebsOnSecurity, saldırının FBI’ın e-posta sistemlerindeki güvenlik açıklarını vurgulamayı amaçladığını iddia eden Pompompurin ile konuşma fırsatı bile buldu.
“Bunu yüzde 1000 oranında daha yasal görünümlü e-postalar göndermek için kullanabilirdim. , şirketleri verileri teslim etmeye vb. kandırmak, “dedi Pompompurin KrebsOnSecurity’ye yaptığı açıklamada. Kişi ayrıca, FBI’ın Emniyet Teşkilatı (LEEP) portalındaki bir güvenlik açığından yararlandıklarını ve sayfanın HTML’sine yerleştirilmiş tek seferlik bir şifre kullanarak bir hesap açmayı başardıklarını söyledi. Oradan, Pompompurin, gönderenin adresini ve e-posta gövdesini değiştirebildiklerini ve büyük spam kampanyasını yürütebildiklerini iddia ediyor.
Bu tür bir erişimle saldırı, yanlış bir uyarıdan çok daha kötü olabilirdi. sistem yöneticileri yüksek alarmda. Bu ayın başlarında, Başkan Joe Biden, sivil federal kurumları bilinen tehditleri düzeltmeye çağıran bir hata düzeltmesini zorunlu kıldı. Mayıs ayında Biden, Colonial Pipeline ve SolarWinds’e yönelik zararlı saldırıların ardından ülkenin siber savunmasını iyileştirmeyi amaçlayan bir yürütme emri imzaladı.
