in

Sistema del FBI pirateado para enviar advertencias «urgentes» de ciberataques falsos por correo electrónico


Sistema del FBI pirateado para enviar advertencias

Los servidores de correo electrónico de la Oficina Federal de Investigaciones (FBI) han sido pirateados para distribuir correos electrónicos no deseados que se hacen pasar por advertencias del FBI de que se han violado las redes de los destinatarios y se han robado datos.

Los correos electrónicos pretendían advertir de un «elaborado ataque en cadena» de un conocido actor de amenazas avanzadas a quien identifican como Vinny Troy. Troia es el jefe de investigación de seguridad de las empresas de inteligencia de la web oscura NightLion y Shadowbyte

SpamHaus, una organización de seguimiento de spam sin fines de lucro, descubrió que temprano en la mañana decenas de miles de estos mensajes se entregaron en dos oleadas. Creen que esto es solo una pequeña parte de la campaña.

La dirección legítima entrega contenido falso

Los investigadores del Proyecto Spamhaus, una organización internacional sin fines de lucro que rastrea el spam y las amenazas cibernéticas relacionadas (phishing, botnets, malware), observaron dos oleadas de esta campaña, una a las 5 a.m. (UTC) y una segunda dos horas después.

Los mensajes provienen de una dirección de correo electrónico legítima: eims@ic.fbi.gov – que proviene del Portal Empresarial de Aplicación de la Ley (LEEP) del FBI y el tema «Urgente: actor de amenazas en los sistemas. «

Todo el correo electrónico provino de la dirección IP del FBI 153.31.119.142 (mx-east-ic.fbi.gov), Nos informó Spamhaus.

Advertencia de ciberataques falsos desde una dirección de correo electrónico legítima del FBI

El mensaje advierte que se ha detectado un actor de amenazas en la red del destinatario y que ha robado datos de los dispositivos.

Our intelligence monitoring indicates exfiltration of several of your virtualized clusters in a sophisticated chain attack. We tried to blackhole the transit nodes used by this advanced persistent threat actor, however there is a huge chance he will modify his attack with fastflux technologies, which he proxies trough multiple global accelerators. We identified the threat actor to be Vinny Troia, whom is believed to be affiliated with the extortion gang TheDarkOverlord, We highly recommend you to check your systems and IDS monitoring. Beware this threat actor is currently working under inspection of the NCCIC, as we are dependent on some of his intelligence research we can not interfere physically within 4 hours, which could be enough time to cause severe damage to your infrastructure.


Stay safe,

U.S. Department of Homeland Security | Cyber Threat Detection and Analysis | Network Analysis Group

Spamhaus Project informó a BleepingComputer que los correos electrónicos falsificados llegaban al menos a 100.000 buzones de correo. Sin embargo, el número es una estimación muy conservadora, ya que los investigadores creen que «la campaña fue posiblemente mucho, mucho mayor».

En uno Pío Hoy, la organización sin fines de lucro anunció que los destinatarios han sido eliminados de la base de datos del Registro Americano de Números de Internet (ARIN).

Si bien esto parece una broma, no hay duda de que los correos electrónicos provienen de los servidores del FBI, ya que los encabezados de los mensajes muestran que su origen está verificado por el mecanismo DomainKeys Identified Mail (DKIM).

Received: from mx-east-ic.fbi.gov ([153.31.119.142]:33505 helo=mx-east.fbi.gov)
envelope-from 
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=fbi.gov; s=cjis; t=1636779463; x=1668315463;
  h=date:from:to:message-id:subject:mime-version;
  bh=UlyBPHe3aElw3Vfnk/pqYLsBAoJGDFR1NyZFcSfpl5g=;
  b=N3YzXzJEbQCTJGh8qqjkYu/A5DTE7yoloPgO0r84N+Bm2ae6f+SxzsEq
   nbjnF2hC0WtiVIMMUVGzxWSiZjq1flEygQGI/JVjjk/tgVVPO5BcX4Os4
   vIeg2pT+r/TLTgq4XZDIfGXa0wLKRAi8+e/Qtcc0qYNuTINJDuVxkGNUD
   62DNKYw5uq/YHyxw+nl4XQwUNmQCcT5SIhebDEODaZq2oVHJeO5shrN42
   urRJ40Pt9EGcRuzNoimtUtDYfiz3Ddf6vkFF8YTBZr5pWDJ6v22oy4mNK
   F8HINSI9+7LPX/5Td1y7uErbGvgAya5MId02w9r/p3GsHJgSFalgIn+uY
   Q==;
   X-IronPort-AV: E=McAfee;i="6200,9189,10166"; a="4964109"
   X-IronPort-AV: E=Sophos;i="5.87,231,1631577600"; 
   d="scan'208";a="4964109"
Received: from dap00025.str0.eims.cjis ([10.67.35.50])
  by wvadc-dmz-pmo003-fbi.enet.cjis with ESMTP/TLS/ECDHE-RSA-AES256-GCM-SHA384; 13 Nov 2021 04:57:41 
+0000
Received: from dap00040.str0.eims.cjis (dap00040.str0.eims.cjis [10.66.2.72])
	by dap00025.str0.eims.cjis (8.14.4/8.13.8) with ESMTP id 1AD4vf5M029322
	for ; Fri, 12 Nov 2021 23:57:41 -0500
Date: Fri, 12 Nov 2021 23:57:41 -0500 (EST)
From: eims@ic.fbi.gov



v=DMARC1; p=reject; rua=mailto:dmarc-feedback@fbi.gov,mailto:reports@dmarc.cyber.dhs.gov; ruf=mailto:dmarc-feedback@fbi.gov; pct=100

Los encabezados también muestran los siguientes servidores internos del FBI que procesaron los correos electrónicos:

  • dap00025.str0.eims.cjis
  • wvadc-dmz-pmo003-fbi.enet.cjis
  • dap00040.str0.eims.cjis

El FBI confirmó que el contenido de los correos electrónicos es falso y que están trabajando para resolver el problema, ya que su mesa de ayuda está inundada de llamadas de administradores preocupados.

En un comunicado a BleepingComputer, el FBI dijo que no podía compartir más información debido a una situación en curso.

“El FBI y CISA supieron del incidente esta mañana a través de correos electrónicos falsos de una cuenta de correo electrónico @ ic.fbi.gov. Esta es una situación en curso y actualmente no podemos proporcionar ninguna información adicional al público. Tenga cuidado con los remitentes desconocidos y le instamos a que informe cualquier actividad sospechosa en www.ic3.gov o www.cisa.gov. ”- FBI.

El objetivo es desacreditar a los investigadores de seguridad.

Quien esté detrás de esta campaña probablemente tuvo la motivación de desacreditar a Vinny Troia, fundador de la compañía de inteligencia de la web oscura Shadowbyte, quien es nombrado en el mensaje como el actor de amenazas responsable del ataque falso a la cadena de suministro.

Los miembros de la comunidad de piratería de RaidForums tienen una disputa de larga data con Troy y con frecuencia desfiguran los sitios web y realizan ataques menores en los que culpan al investigador de seguridad.

Tuitea sobre esta campaña de spam, Vinny Troia indicado conocido por alguien como «Pompomourin“Como probable autor del ataque. Troia dice que la persona ha sido vinculada a incidentes en el pasado destinados a dañar la reputación del investigador de seguridad.

En declaraciones a BleepingComputer, Troy dijo que «mi mejor suposición es ‘Pompomorin’ y sus secuaces». [are behind this incident]. «

«La última vez que ella [pompompurin] pirateó el blog del Centro Nacional para Niños Desaparecidos y publicó una publicación sobre ser un pedófilo ”- Vinny Troia

Apoyando esta suposición está el hecho de que ‘Pompompurin’ se puso en contacto con Troy unas horas antes de que las campañas de correo electrónico no deseado comenzaran a decir simplemente «Disfruten» como una advertencia de que algo iba a suceder en lo que el investigador estaba involucrado.

Troy dijo que ‘Pompompurin’ le envía un mensaje cada vez que lanzan un ataque para desacreditar al investigador.

Actualización 13/11/21: Se agregó una declaración del FBI.



What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Aplicación de chat encriptada de extremo a extremo falsa que propaga software espía de Android

Canadian Furious Beaver: una herramienta para monitorear el controlador de IRP en los controladores de Windows y para facilitar el análisis, la reproducción y el proceso de fuzzing de los controladores de Windows en busca de vulnerabilidades.