FBI potwerdziło, że jego system został wykorzystany do wysyłania e-maili z fałszywym ostrzeżeniem o cyberataku
Wysłane powiadomienie było nieprawdziwe, ale rzeczywiście zostało wysłane z systemu pocztowego i adresu agencji FBI.
W poniedziałek rano 15.11.2021 FBI przyznało, że atakujący wykorzystał lukę w konfiguracji systemu do przesyłania wiadomości: luka, która pozwoliła nieznanej stronie wysłać falę fałszywych „pilnych” ostrzeżeń o nieprawdziwych cyberatakach.
The Spamhaus Project, europejska organizacja non-profit monitorująca spam e-mailowy, wykryła exploita i napisała o nim na Twitterze wczesnym rankiem w sobotę 13.11.2021, wskazując: „Zostaliśmy poinformowani o „przerażających” e-mailach wysłanych w ciągu ostatnich kilku godzin, które rzekomo pochodziły od FBI/ DHS. Chociaż e-maile są rzeczywiste i wysyłane z infrastruktury, która jest własnością FBI/DHS (portal LEEP), nasze badania pokazują, że te e-maile *są* fałszywe”.
Późnym wieczorem w piątek infrastruktura 12.11.2021 FBI/DHS – w szczególności Law Enforcement Enterprise Portal (LEEP) – zaczęła wysyłać ostrzeżenia o fałszywych cyberatakach, wysyłane z prawdziwego adresu FBI eims@ic.fbi.gov.
Mniej więcej w tym czasie ten sam adres e-mail dotarł do dziennikarza zajmującego się bezpieczeństwem Briana Krebsa z następującą wiadomością:
„Cześć, tu pompompurin. Sprawdź nagłówki tego e-maila, który faktycznie pochodzi z serwera FBI. Kontaktuję się z tobą dzisiaj, ponieważ znaleźliśmy botnet, proszę podejmij natychmiastowe działanie, dzięki.”
Pompompurin nie kłamał. Analiza nagłówków wiadomości e-mail wykazała, że system poczty e-mail FBI rzeczywiście ją wysłał i to z własnego adresu agencji. Krebs potwierdził, że domena nadawcy wiadomości e-mail — eims[@]ic.fbi[.]gov — to domena działu służb informacyjnych wymiaru sprawiedliwości w sprawach karnych (CJIS) FBI.
Spamhaus poinfomował, że fałszywe e-maile ostrzegawcze zostały wysłane na adresy pozsykane z bazy danych północnoamerykańskiego rejestru numerów internetowych (ARIN), a biorąc pod uwagę, że nagłówki były prawdziwe, spowodowały „wielkie poruszenie”.
Spamhaus poinformował, że pojawiły się dwa strumienie poczty, z których w sumie wyszło około 100 000 wiadomości, bez nazwiska ani danych kontaktowych w podpisie, Spamhaus wezwał odbiorców „Uważaj!”
FBI mówi, że napastnik nie uzyskał dostępu do danych
„FBI zdaje sobie sprawę z błędnej konfiguracji oprogramowania, która tymczasowo pozwoliła atakującemu na wykorzystanie Law Enforcement Enterprise Portal (LEEP) do wysyłania fałszywych e-maili” – napisało FBI w oświadczeniu. Biuro opisuje, że LEEP jest „bramą zapewniającą organom ścigania, grupom wywiadowczym i organom wymiaru sprawiedliwości w sprawach karnych dostęp do ważnych zasobów”.
Oświadczenie FBI wyjaśnia, że „Chociaż nielegalna wiadomość e-mail pochodziła z serwera obsługiwanego przez FBI, serwer ten był przeznaczony do przesyłania powiadomień dla LEEP i nie był częścią korporacyjnej usługi poczty e-mail FBI”.
Zgodnie z oświadczeniem, atakujący nie był w stanie uzyskać dostępu do żadnych danych ani informacji umożliwiających identyfikację (PII) w sieci FBI. „Kiedy dowiedzieliśmy się o incydencie, szybko naprawiliśmy lukę w oprogramowaniu, ostrzegliśmy partnerów, aby zignorowali fałszywe wiadomości e-mail i potwierdziliśmy integralność naszych sieci” – napisało FBI.