Il sistema di posta elettronica dell’FBI è stato violato per inviare falsi avvisi di sicurezza informatica

Gli hacker hanno preso di mira i server di posta elettronica del Federal Bureau of Investigation (FBI), inviando migliaia di messaggi fasulli che affermano che i suoi destinatari sono diventati vittime di un “sofisticato attacco a catena”, segnalato per la prima volta da Computer che suona. Le e-mail sono state inizialmente scoperte da Il progetto Spamhaus, un’organizzazione senza scopo di lucro che indaga sugli spammer di posta elettronica.

Le e-mail affermano che Vinny Troia era dietro i falsi attacchi e affermano anche falsamente che Troia è associata al famigerato gruppo di hacker, The Dark Overlord – gli stessi cattivi attori che hanno trapelato la quinta stagione di L’arancione è il nuovo nero. In realtà, Troia è un importante ricercatore di sicurezza informatica che gestisce due società di sicurezza del dark web, NightLion e Shadowbyte.

Come notato da Computer che suona, gli hacker sono riusciti a inviare e-mail a oltre 100.000 indirizzi, che sono stati tutti eliminati dal database dell’American Registry for Internet Numbers (ARIN). Un rapporto di Bloomberg afferma che gli hacker hanno utilizzato il sistema di posta elettronica pubblico dell’FBI, facendo sembrare le e-mail ancora più legittime. Il ricercatore di sicurezza informatica Kevin Beaumont attesta anche l’aspetto legittimo dell’e-mail, affermando che le intestazioni sono autenticate come provenienti dai server dell’FBI utilizzando il processo Domain Keys Identified Mail (DKIM) che fa parte del sistema utilizzato da Gmail per attaccare i loghi del marchio sulle e-mail aziendali verificate.

L’FBI ha risposto all’incidente in a comunicato stampa, osservando che si tratta di una “situazione in corso” e che “l’hardware interessato è stato messo offline”. A parte questo, l’FBI afferma di non avere più informazioni da condividere in questo momento.

Secondo Computer che suona, la campagna di spam è stata probabilmente condotta come tentativo di diffamare Troia. In un tweet, Troia ipotizza che un individuo che si fa chiamare “Pompompurin” potrebbe aver lanciato l’attacco. Come Computer che suona osserva, quella stessa persona avrebbe tentato di danneggiare la reputazione di Troia in modi simili in passato.

Un rapporto di un reporter sulla sicurezza informatica Brian Krebs collega anche Pompompurin all’incidente: l’individuo gli avrebbe inviato un messaggio da un indirizzo e-mail dell’FBI quando sono stati lanciati gli attacchi, affermando: “Ciao, è pompompurin. Controlla le intestazioni di questa e-mail, in realtà proviene dal server dell’FBI. KrebsOnSecurity ha anche avuto la possibilità di parlare con Pompompurin, il quale afferma che l’hack aveva lo scopo di evidenziare le vulnerabilità della sicurezza all’interno dei sistemi di posta elettronica dell’FBI.

“Avrei potuto usarlo al 1000 percento per inviare e-mail dall’aspetto più lecito, indurre le aziende a consegnare dati, ecc.”, ha detto Pompompurin in una dichiarazione a KrebsOnSecurity. L’individuo ha anche detto alla testata di aver sfruttato una lacuna di sicurezza sul portale Law Enforcement Enterprise (LEEP) dell’FBI ed è riuscito a registrarsi per un account utilizzando una password monouso incorporata nell’HTML della pagina. Da lì, Pompompurin afferma di essere stato in grado di manipolare l’indirizzo del mittente e il corpo dell’e-mail, eseguendo la massiccia campagna di spam.

Con quel tipo di accesso, l’attacco avrebbe potuto essere molto peggio di un falso allarme che ha messo in allerta gli amministratori di sistema. All’inizio di questo mese, il presidente Joe Biden ha incaricato una correzione di bug che richiede alle agenzie federali civili di correggere eventuali minacce note. A maggio, Biden ha firmato un ordine esecutivo che mira a migliorare le difese informatiche della nazione a seguito di attacchi dannosi alla Colonial Pipeline e SolarWinds.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *