El servidor de correos del FBI fue hackeado para enviar falsas alertas de ciberseguridad
Los servidores de correo electrónico de la Oficina Federal de Investigaciones (FBI) fueron hackeados para distribuir correos electrónicos no deseados (spam). Los correos enviados simulaban ser advertencias del FBI de que la red de los destinatarios fue vulnerada y que sus datos fueron robados.
Los correos electrónicos pretendían advertir sobre un “sofisticado ataque en cadena” de un ciberdelincuente experto, a quien identifican como Vinny Troia. Troia es un destacado investigador de ciberseguridad que dirige dos empresas especializadas en perseguir el crimen cibernético en la Dark Web.
SpamHaus, una organización sin fines de lucro que rastrea spam, notó que decenas de miles de estos mensajes se enviaron en dos oleadas el pasado sábado. SpamHaus cree que esto fue solo una pequeña parte de la campaña.
Dirección legítima envía contenido falso
Los investigadores del Proyecto Spamhaus, una organización internacional sin fines de lucro que rastrea el spam y las amenazas cibernéticas asociadas (phishing, botnets, malware), detectaron esta peligrosa campaña el sábado por la mañana.
Los mensajes provenían de una dirección de correo electrónico legítima, [email protected], que es del Portal Empresarial de Aplicación de la Ley del FBI (LEEP). Lo más llamativo es que los correos tenían el asunto “Urgente: actor de amenazas en los sistemas“.
Todos los correos electrónicos provenían de la dirección IP del FBI 153.31.119.142 (mx-east-ic.fbi.gov), según dijo Spamhaus.
El mensaje advertía que habían detectado a los atacantes en la red de los destinatarios y que estos habían robado datos de los dispositivos.
Spamhaus Project dijo que los correos electrónicos falsos llegaron al menos a 100,000 buzones de correo electrónico. Sin embargo, el número es una estimación muy conservadora, ya que los investigadores creen que “la campaña fue potencialmente mucho, mucho mayor”.
En un tweet, la organización sin fines de lucro dijo que los destinatarios fueron extraídos de la base de datos del Registro Estadounidense de Números de Internet (ARIN).
Si bien esto parece una broma, no hay duda de que los correos electrónicos se originaron en los servidores del FBI. ¿Cómo lo comprobamos? Los encabezados del mensaje muestran que su origen está verificado por el mecanismo DomainKeys Identified Mail (DKIM).
Received: from mx-east-ic.fbi.gov ([153.31.119.142]:33505 helo=mx-east.fbi.gov)
envelope-from
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=fbi.gov; s=cjis; t=1636779463; x=1668315463;
h=date:from:to:message-id:subject:mime-version;
bh=UlyBPHe3aElw3Vfnk/pqYLsBAoJGDFR1NyZFcSfpl5g=;
b=N3YzXzJEbQCTJGh8qqjkYu/A5DTE7yoloPgO0r84N+Bm2ae6f+SxzsEq
nbjnF2hC0WtiVIMMUVGzxWSiZjq1flEygQGI/JVjjk/tgVVPO5BcX4Os4
vIeg2pT+r/TLTgq4XZDIfGXa0wLKRAi8+e/Qtcc0qYNuTINJDuVxkGNUD
62DNKYw5uq/YHyxw+nl4XQwUNmQCcT5SIhebDEODaZq2oVHJeO5shrN42
urRJ40Pt9EGcRuzNoimtUtDYfiz3Ddf6vkFF8YTBZr5pWDJ6v22oy4mNK
F8HINSI9+7LPX/5Td1y7uErbGvgAya5MId02w9r/p3GsHJgSFalgIn+uY
Q==;
X-IronPort-AV: E=McAfee;i="6200,9189,10166"; a="4964109"
X-IronPort-AV: E=Sophos;i="5.87,231,1631577600";
d="scan'208";a="4964109"
Received: from dap00025.str0.eims.cjis ([10.67.35.50])
by wvadc-dmz-pmo003-fbi.enet.cjis with ESMTP/TLS/ECDHE-RSA-AES256-GCM-SHA384; 13 Nov 2021 04:57:41
+0000
Received: from dap00040.str0.eims.cjis (dap00040.str0.eims.cjis [10.66.2.72])
by dap00025.str0.eims.cjis (8.14.4/8.13.8) with ESMTP id 1AD4vf5M029322
for ; Fri, 12 Nov 2021 23:57:41 -0500
Date: Fri, 12 Nov 2021 23:57:41 -0500 (EST)
From: [email protected]
v=DMARC1; p=reject; rua=mailto:[email protected],mailto:[email protected]; ruf=mailto:[email protected]; pct=100
Los encabezados también muestran los siguientes servidores internos del FBI que procesaron los correos electrónicos:
- dap00025.str0.eims.cjis
- wvadc-dmz-pmo003-fbi.enet.cjis
- dap00040.str0.eims.cjis
El FBI confirmó que el contenido de los correos electrónicos es falso y que estaban trabajando para resolver el problema. Esto porque su servicio de asistencia estaba inundado de llamadas de administradores preocupados.
Respuesta del FBI
En un comunicado, el FBI dijo que no podían compartir más información debido a que era una situación en curso.
“El FBI y la CISA están al tanto del incidente de esta mañana que involucró correos electrónicos falsos de la cuenta de correo electrónico @ic.fbi.gov. Esta es una situación en curso y no podemos proporcionar ninguna información adicional en este momento. Seguimos alentando a los internautas a que tengan cuidado con los remitentes desconocidos y les instamos a que reporten cualquier actividad sospechosa en www.ic3.gov o www.cisa.gov”.
– FBI
En un segundo comunicado, el FBI explicó que el atacante detrás de la campaña de spam aprovechó una configuración de software para enviar los correos electrónicos.
Los mensajes salieron de un servidor administrado por el FBI. No obstante, el servidor aisló el correo electrónico corporativo de la agencia y no permitió acceso a ningún dato o información de identificación personal en la red del FBI.
“El FBI está al tanto de una configuración incorrecta del software que permitió temporalmente a un actor aprovechar el Portal Empresarial de Cumplimiento de la Ley (LEEP) para enviar correos electrónicos falsos. LEEP es la infraestructura informática del FBI que se utiliza para comunicarse con nuestros socios encargados de hacer cumplir las leyes estatales y locales. Si bien el correo electrónico ilegítimo se originó en un servidor administrado por el FBI, ese servidor estaba dedicado a enviar notificaciones para LEEP y no formaba parte del servicio de correo electrónico corporativo del FBI. Ningún atacante accedió ni comprometió ningún dato o información personal en la red del FBI. Una vez que supimos del incidente, solucionamos rápidamente la vulnerabilidad del software, advertimos a los destinatarios que ignoraran los correos y confirmamos la integridad de nuestras redes”
– FBI
Detalles técnicos
Según los detalles técnicos obtenidos por el investigador Brian Krebs de la persona detrás de la campaña, el portal LEEP permitía a cualquiera solicitar una cuenta. El proceso de registro requería completar la información de contacto.
“Un paso crítico en ese proceso dice que los solicitantes recibirán una confirmación por correo electrónico de [email protected] con un código de acceso único”.
Brian Krebs
Este código y los datos de contacto del solicitante se filtraron en el código HTML de la página web.
Usando un script, el atacante cambió los parámetros con un asunto de correo electrónico y mensaje de su elección, y automatizaba el envío de los mensajes.
Ataque para desacreditar al investigador de seguridad
Quien esté detrás de esta campaña probablemente tuvo la motivación de desacreditar a Vinny Troia. Troia es el fundador de la compañía de análisisde cibercrimen Shadowbyte. Tal como lo mencionamos anteriormente, Vinny Troia es mencionado en el mensaje como el atacante responsable del ataque falso a la cadena de suministro.
Los miembros de la comunidad de hacking de RaidForums tienen una disputa de larga data con Troia. RaidForums comúnmente desfigura sitios web y realiza ataques menores donde culpan al investigador de seguridad.
Al tuitear sobre esta campaña de spam, Vinny Troia insinuó a alguien conocido como “pompomourin”, como el probable autor del ataque. Troia dice que el individuo está asociado con incidentes pasados destinados a dañar la reputación de él.
Troia dijo: “mi mejor suposición es que ‘pompompurin’ y su banda de secuaces [están detrás de este incidente]”.
“La última vez que [pompompurin] hackeó el blog del sitio web del centro nacional para niños desaparecidos, afirmó que soy un pedófilo”
– Vinny Troia.
Esta suposición se ve reforzada por el hecho de que ‘pompompurin’ se puso en contacto con Troia unas horas antes de que las campañas de spam comenzaran. pompompurin le dijo a Troia “disfruta”; la palabra es una advertencia de que algo que involucraba al investigador estaba a punto de suceder.
Troia dijo que ‘pompompurin’ le envía mensajes cada vez que inician un ataque para desacreditarlo.