Sistema del FBI pirateado para enviar advertencias «urgentes» de ciberataques falsos por correo electrónico
Los servidores de correo electrónico de la Oficina Federal de Investigaciones (FBI) han sido pirateados para distribuir correos electrónicos no deseados que se hacen pasar por advertencias del FBI de que se han violado las redes de los destinatarios y se han robado datos.
Los correos electrónicos pretendían advertir de un «elaborado ataque en cadena» de un conocido actor de amenazas avanzadas a quien identifican como Vinny Troy. Troia es el jefe de investigación de seguridad de las empresas de inteligencia de la web oscura NightLion y Shadowbyte
SpamHaus, una organización de seguimiento de spam sin fines de lucro, descubrió que temprano en la mañana decenas de miles de estos mensajes se entregaron en dos oleadas. Creen que esto es solo una pequeña parte de la campaña.
La dirección legítima entrega contenido falso
Los investigadores del Proyecto Spamhaus, una organización internacional sin fines de lucro que rastrea el spam y las amenazas cibernéticas relacionadas (phishing, botnets, malware), observaron dos oleadas de esta campaña, una a las 5 a.m. (UTC) y una segunda dos horas después.
Los mensajes provienen de una dirección de correo electrónico legítima: [email protected] – que proviene del Portal Empresarial de Aplicación de la Ley (LEEP) del FBI y el tema «Urgente: actor de amenazas en los sistemas. «
Todo el correo electrónico provino de la dirección IP del FBI 153.31.119.142 (mx-east-ic.fbi.gov), Nos informó Spamhaus.
El mensaje advierte que se ha detectado un actor de amenazas en la red del destinatario y que ha robado datos de los dispositivos.
Our intelligence monitoring indicates exfiltration of several of your virtualized clusters in a sophisticated chain attack. We tried to blackhole the transit nodes used by this advanced persistent threat actor, however there is a huge chance he will modify his attack with fastflux technologies, which he proxies trough multiple global accelerators. We identified the threat actor to be Vinny Troia, whom is believed to be affiliated with the extortion gang TheDarkOverlord, We highly recommend you to check your systems and IDS monitoring. Beware this threat actor is currently working under inspection of the NCCIC, as we are dependent on some of his intelligence research we can not interfere physically within 4 hours, which could be enough time to cause severe damage to your infrastructure.Stay safe,U.S. Department of Homeland Security | Cyber Threat Detection and Analysis | Network Analysis Group
Spamhaus Project informó a BleepingComputer que los correos electrónicos falsificados llegaban al menos a 100.000 buzones de correo. Sin embargo, el número es una estimación muy conservadora, ya que los investigadores creen que «la campaña fue posiblemente mucho, mucho mayor».
En uno Pío Hoy, la organización sin fines de lucro anunció que los destinatarios han sido eliminados de la base de datos del Registro Americano de Números de Internet (ARIN).
Si bien esto parece una broma, no hay duda de que los correos electrónicos provienen de los servidores del FBI, ya que los encabezados de los mensajes muestran que su origen está verificado por el mecanismo DomainKeys Identified Mail (DKIM).
Received: from mx-east-ic.fbi.gov ([153.31.119.142]:33505 helo=mx-east.fbi.gov)envelope-from DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=fbi.gov; s=cjis; t=1636779463; x=1668315463; h=date:from:to:message-id:subject:mime-version; bh=UlyBPHe3aElw3Vfnk/pqYLsBAoJGDFR1NyZFcSfpl5g=; b=N3YzXzJEbQCTJGh8qqjkYu/A5DTE7yoloPgO0r84N+Bm2ae6f+SxzsEq nbjnF2hC0WtiVIMMUVGzxWSiZjq1flEygQGI/JVjjk/tgVVPO5BcX4Os4 vIeg2pT+r/TLTgq4XZDIfGXa0wLKRAi8+e/Qtcc0qYNuTINJDuVxkGNUD 62DNKYw5uq/YHyxw+nl4XQwUNmQCcT5SIhebDEODaZq2oVHJeO5shrN42 urRJ40Pt9EGcRuzNoimtUtDYfiz3Ddf6vkFF8YTBZr5pWDJ6v22oy4mNK F8HINSI9+7LPX/5Td1y7uErbGvgAya5MId02w9r/p3GsHJgSFalgIn+uY Q==; X-IronPort-AV: E=McAfee;i="6200,9189,10166"; a="4964109" X-IronPort-AV: E=Sophos;i="5.87,231,1631577600"; d="scan'208";a="4964109"Received: from dap00025.str0.eims.cjis ([10.67.35.50]) by wvadc-dmz-pmo003-fbi.enet.cjis with ESMTP/TLS/ECDHE-RSA-AES256-GCM-SHA384; 13 Nov 2021 04:57:41 +0000Received: from dap00040.str0.eims.cjis (dap00040.str0.eims.cjis [10.66.2.72]) by dap00025.str0.eims.cjis (8.14.4/8.13.8) with ESMTP id 1AD4vf5M029322 for ; Fri, 12 Nov 2021 23:57:41 -0500Date: Fri, 12 Nov 2021 23:57:41 -0500 (EST)From: [email protected]=DMARC1; p=reject; rua=mailto:[email protected],mailto:reports@dmarc.cyber.dhs.gov; ruf=mailto:[email protected]; pct=100
Los encabezados también muestran los siguientes servidores internos del FBI que procesaron los correos electrónicos:
dap00025.str0.eims.cjis
wvadc-dmz-pmo003-fbi.enet.cjis
dap00040.str0.eims.cjis
El FBI confirmó que el contenido de los correos electrónicos es falso y que están trabajando para resolver el problema, ya que su mesa de ayuda está inundada de llamadas de administradores preocupados.
En un comunicado a BleepingComputer, el FBI dijo que no podía compartir más información debido a una situación en curso.
El objetivo es desacreditar a los investigadores de seguridad.
Quien esté detrás de esta campaña probablemente tuvo la motivación de desacreditar a Vinny Troia, fundador de la compañía de inteligencia de la web oscura Shadowbyte, quien es nombrado en el mensaje como el actor de amenazas responsable del ataque falso a la cadena de suministro.
Los miembros de la comunidad de piratería de RaidForums tienen una disputa de larga data con Troy y con frecuencia desfiguran los sitios web y realizan ataques menores en los que culpan al investigador de seguridad.
Tuitea sobre esta campaña de spam, Vinny Troia indicado conocido por alguien como «Pompomourin“Como probable autor del ataque. Troia dice que la persona ha sido vinculada a incidentes en el pasado destinados a dañar la reputación del investigador de seguridad.
En declaraciones a BleepingComputer, Troy dijo que «mi mejor suposición es ‘Pompomorin’ y sus secuaces». [are behind this incident]. «
«La última vez que ella [pompompurin] pirateó el blog del Centro Nacional para Niños Desaparecidos y publicó una publicación sobre ser un pedófilo ”- Vinny Troia
Apoyando esta suposición está el hecho de que ‘Pompompurin’ se puso en contacto con Troy unas horas antes de que las campañas de correo electrónico no deseado comenzaran a decir simplemente «Disfruten» como una advertencia de que algo iba a suceder en lo que el investigador estaba involucrado.
Troy dijo que ‘Pompompurin’ le envía un mensaje cada vez que lanzan un ataque para desacreditar al investigador.
Actualización 13/11/21: Se agregó una declaración del FBI.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
