馃槑 60% Descuento:  Curso de Hacking Redes Inal谩mbricas >> Ver M谩s

El servidor de correos del FBI fue hackeado para enviar falsas alertas de ciberseguridad

Los servidores de correo electr贸nico de la Oficina Federal de Investigaciones (FBI) fueron hackeados para distribuir correos electr贸nicos no deseados (spam). Los correos enviados simulaban ser advertencias del FBI de que la red de los destinatarios fue vulnerada y que sus datos fueron robados.

Los correos electr贸nicos pretend铆an advertir sobre un “sofisticado ataque en cadena” de un ciberdelincuente experto, a quien identifican como Vinny Troia. Troia es un destacado investigador de ciberseguridad que dirige dos empresas especializadas en perseguir el crimen cibern茅tico en la Dark Web.

SpamHaus, una organizaci贸n sin fines de lucro que rastrea spam, not贸 que decenas de miles de estos mensajes se enviaron en dos oleadas el pasado s谩bado. SpamHaus cree que esto fue solo una peque帽a parte de la campa帽a.

Direcci贸n leg铆tima env铆a contenido falso

Los investigadores del Proyecto Spamhaus, una organizaci贸n internacional sin fines de lucro que rastrea el spam y las amenazas cibern茅ticas asociadas (phishing, botnets, malware), detectaron esta peligrosa campa帽a el s谩bado por la ma帽ana.

Los mensajes proven铆an de una direcci贸n de correo electr贸nico leg铆tima, [email protected], que es del Portal Empresarial de Aplicaci贸n de la Ley del FBI (LEEP). Lo m谩s llamativo es que los correos ten铆an el asunto “Urgente: actor de amenazas en los sistemas“.

Todos los correos electr贸nicos proven铆an de la direcci贸n IP del FBI 153.31.119.142 (mx-east-ic.fbi.gov), seg煤n dijo Spamhaus.

El mensaje advert铆a que hab铆an detectado a los atacantes en la red de los destinatarios y que estos hab铆an robado datos de los dispositivos.

Spamhaus Project dijo que los correos electr贸nicos falsos llegaron al menos a 100,000 buzones de correo electr贸nico. Sin embargo, el n煤mero es una estimaci贸n muy conservadora, ya que los investigadores creen que “la campa帽a fue potencialmente mucho, mucho mayor”.

En un tweet, la organizaci贸n sin fines de lucro dijo que los destinatarios fueron extra铆dos de la base de datos del Registro Estadounidense de N煤meros de Internet (ARIN).

Si bien esto parece una broma, no hay duda de que los correos electr贸nicos se originaron en los servidores del FBI. 驴C贸mo lo comprobamos? Los encabezados del mensaje muestran que su origen est谩 verificado por el mecanismo DomainKeys Identified Mail (DKIM).

Received: from mx-east-ic.fbi.gov ([153.31.119.142]:33505 helo=mx-east.fbi.gov)
envelope-from 
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=fbi.gov; s=cjis; t=1636779463; x=1668315463;
  h=date:from:to:message-id:subject:mime-version;
  bh=UlyBPHe3aElw3Vfnk/pqYLsBAoJGDFR1NyZFcSfpl5g=;
  b=N3YzXzJEbQCTJGh8qqjkYu/A5DTE7yoloPgO0r84N+Bm2ae6f+SxzsEq
   nbjnF2hC0WtiVIMMUVGzxWSiZjq1flEygQGI/JVjjk/tgVVPO5BcX4Os4
   vIeg2pT+r/TLTgq4XZDIfGXa0wLKRAi8+e/Qtcc0qYNuTINJDuVxkGNUD
   62DNKYw5uq/YHyxw+nl4XQwUNmQCcT5SIhebDEODaZq2oVHJeO5shrN42
   urRJ40Pt9EGcRuzNoimtUtDYfiz3Ddf6vkFF8YTBZr5pWDJ6v22oy4mNK
   F8HINSI9+7LPX/5Td1y7uErbGvgAya5MId02w9r/p3GsHJgSFalgIn+uY
   Q==;
   X-IronPort-AV: E=McAfee;i="6200,9189,10166"; a="4964109"
   X-IronPort-AV: E=Sophos;i="5.87,231,1631577600"; 
   d="scan'208";a="4964109"
Received: from dap00025.str0.eims.cjis ([10.67.35.50])
  by wvadc-dmz-pmo003-fbi.enet.cjis with ESMTP/TLS/ECDHE-RSA-AES256-GCM-SHA384; 13 Nov 2021 04:57:41 
+0000
Received: from dap00040.str0.eims.cjis (dap00040.str0.eims.cjis [10.66.2.72])
	by dap00025.str0.eims.cjis (8.14.4/8.13.8) with ESMTP id 1AD4vf5M029322
	for ; Fri, 12 Nov 2021 23:57:41 -0500
Date: Fri, 12 Nov 2021 23:57:41 -0500 (EST)
From: [email protected]



v=DMARC1; p=reject; rua=mailto:[email protected],mailto:[email protected]; ruf=mailto:[email protected]; pct=100

Los encabezados tambi茅n muestran los siguientes servidores internos del FBI que procesaron los correos electr贸nicos:

  • dap00025.str0.eims.cjis
  • wvadc-dmz-pmo003-fbi.enet.cjis
  • dap00040.str0.eims.cjis

El FBI confirm贸 que el contenido de los correos electr贸nicos es falso y que estaban trabajando para resolver el problema. Esto porque su servicio de asistencia estaba inundado de llamadas de administradores preocupados.

Respuesta del FBI

En un comunicado, el FBI dijo que no pod铆an compartir m谩s informaci贸n debido a que era una situaci贸n en curso.

“El FBI y la CISA est谩n al tanto del incidente de esta ma帽ana que involucr贸 correos electr贸nicos falsos de la cuenta de correo electr贸nico @ic.fbi.gov. Esta es una situaci贸n en curso y no podemos proporcionar ninguna informaci贸n adicional en este momento. Seguimos alentando a los internautas a que tengan cuidado con los remitentes desconocidos y les instamos a que reporten cualquier actividad sospechosa en www.ic3.gov o www.cisa.gov鈥. 

– FBI

En un segundo comunicado, el FBI explic贸 que el atacante detr谩s de la campa帽a de spam aprovech贸 una configuraci贸n de software para enviar los correos electr贸nicos.

Los mensajes salieron de un servidor administrado por el FBI. No obstante, el servidor aisl贸 el correo electr贸nico corporativo de la agencia y no permiti贸 acceso a ning煤n dato o informaci贸n de identificaci贸n personal en la red del FBI.

“El FBI est谩 al tanto de una configuraci贸n incorrecta del software que permiti贸 temporalmente a un actor aprovechar el Portal Empresarial de Cumplimiento de la Ley (LEEP) para enviar correos electr贸nicos falsos. LEEP es la infraestructura inform谩tica del FBI que se utiliza para comunicarse con nuestros socios encargados de hacer cumplir las leyes estatales y locales. Si bien el correo electr贸nico ileg铆timo se origin贸 en un servidor administrado por el FBI, ese servidor estaba dedicado a enviar notificaciones para LEEP y no formaba parte del servicio de correo electr贸nico corporativo del FBI. Ning煤n atacante accedi贸 ni comprometi贸 ning煤n dato o informaci贸n personal en la red del FBI. Una vez que supimos del incidente, solucionamos r谩pidamente la vulnerabilidad del software, advertimos a los destinatarios que ignoraran los correos y confirmamos la integridad de nuestras redes”

– FBI

Detalles t茅cnicos

Seg煤n los detalles t茅cnicos obtenidos por el investigador Brian Krebs de la persona detr谩s de la campa帽a, el portal LEEP permit铆a a cualquiera solicitar una cuenta. El proceso de registro requer铆a completar la informaci贸n de contacto.

“Un paso cr铆tico en ese proceso dice que los solicitantes recibir谩n una confirmaci贸n por correo electr贸nico de [email protected] con un c贸digo de acceso 煤nico”. 

Brian Krebs

Este c贸digo y los datos de contacto del solicitante se filtraron en el c贸digo HTML de la p谩gina web.

Usando un script, el atacante cambi贸 los par谩metros con un asunto de correo electr贸nico y mensaje de su elecci贸n, y automatizaba el env铆o de los mensajes.

Ataque para desacreditar al investigador de seguridad

Quien est茅 detr谩s de esta campa帽a probablemente tuvo la motivaci贸n de desacreditar a Vinny Troia. Troia es el fundador de la compa帽铆a de an谩lisisde cibercrimen Shadowbyte. Tal como lo mencionamos anteriormente, Vinny Troia es mencionado en el mensaje como el atacante responsable del ataque falso a la cadena de suministro.

Los miembros de la comunidad de hacking de RaidForums tienen una disputa de larga data con Troia. RaidForums com煤nmente desfigura sitios web y realiza ataques menores donde culpan al investigador de seguridad.

Al tuitear sobre esta campa帽a de spam, Vinny Troia insinu贸 a alguien conocido como “pompomourin”, como el probable autor del ataque. Troia dice que el individuo est谩 asociado con incidentes pasados destinados a da帽ar la reputaci贸n de 茅l.

Troia dijo: “mi mejor suposici贸n es que ‘pompompurin’ y su banda de secuaces [est谩n detr谩s de este incidente]”.

鈥淟a 煤ltima vez que [pompompurin] hacke贸 el blog del sitio web del centro nacional para ni帽os desaparecidos, afirm贸 que soy un ped贸filo鈥

– Vinny Troia.

Esta suposici贸n se ve reforzada por el hecho de que ‘pompompurin’ se puso en contacto con Troia unas horas antes de que las campa帽as de spam comenzaran. pompompurin le dijo a Troia “disfruta”; la palabra es una advertencia de que algo que involucraba al investigador estaba a punto de suceder.

Troia dijo que ‘pompompurin’ le env铆a mensajes cada vez que inician un ataque para desacreditarlo.

Deja un comentario

Adquiere tu Membres铆a Anual Wiser

Adquiere tu Membres铆a Anual Wiser y adquiere grandes beneficios

M谩s informaci贸n