Los correos electrónicos falsos explotaron el servicio de correo electrónico del FBI para advertir sobre ciberataques falsos

Un pirata informático se ha hecho responsable del compromiso, diciendo que lo hizo para resaltar una vulnerabilidad en el sistema del FBI.

Imagen: Getty Images / iStockphoto

El FBI suele ser una fuente clave que intenta ayudar a las personas a combatir los ciberataques y las amenazas a la seguridad. Pero en un giro inusual, la agencia de aplicación de la ley se ha convertido en víctima de una hazaña.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Premium)

El sábado, el rastreador de spam Spamhaus tuiteó que se había enterado Se están enviando correos electrónicos “aterradores” supuestamente del FBI y el Departamento de Seguridad Nacional (DHS). Uno de esos correos electrónicos advirtió al destinatario que se vio afectado por un sofisticado ataque en cadena, lo que podría causar graves daños a su infraestructura. Aunque los correos electrónicos se enviaron desde un portal propiedad del FBI y el DHS, Spamhaus dijo que los mensajes en sí mismos eran falsos.

Según una investigación de Spamhaus, los correos electrónicos de advertencia falsos se enviaron a direcciones tomadas de la base de datos del Registro Estadounidense de Números de Internet (ARIN), una organización sin fines de lucro que administra direcciones IP y recursos. Spamhaus dijo que los correos electrónicos estaban causando muchas interrupciones porque los encabezados de los mensajes eran reales, lo que significa que provenían de la propia infraestructura del FBI, aunque no tenían nombres ni detalles de contacto.

En su propio mensaje publicado el sábado, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dijeron que estaban al tanto del incidente con correos electrónicos falsos enviados desde una dirección de correo electrónico ic.fbi.gov e informaron que el hardware afectado se había desconectado. .

En un mensaje de seguimiento enviado el domingo, la agencia dijo que una configuración incorrecta del software le permitió a alguien acceder temporalmente al Portal Empresarial de Aplicación de la Ley (LEEP) para enviar correos electrónicos falsos. El FBI usa el sitio LEEP para comunicarse con los funcionarios encargados de hacer cumplir la ley estatales y locales.

“Si bien el correo electrónico ilegítimo se originó en un servidor operado por el FBI, ese servidor estaba dedicado a enviar notificaciones para LEEP y no formaba parte del servicio de correo electrónico corporativo del FBI”, dijo la agencia. “Ningún actor pudo acceder o poner en peligro ningún dato o PII [personally identifiable information] en la red del FBI. Una vez que nos enteramos del incidente, remediamos rápidamente la vulnerabilidad del software, advertimos a los socios que ignoraran los correos electrónicos falsos y confirmamos la integridad de nuestras redes “.

A menudo, la identidad del culpable real detrás de este tipo de ataque sigue siendo un misterio. Pero en este caso, el hacker parecía muy feliz de revelarse. En un correo electrónico enviado al autor de KrebsOnSecurity, Brian Krebs, un hacker llamado pompompurin asumió la responsabilidad del incidente.

En una entrevista con KrebsOnSecurity, pompompurin dijo que el hack se hizo para resaltar una vulnerabilidad evidente en el sistema del FBI. Esta persona le dijo a Krebs que su acceso ilícito al sistema de correo electrónico del FBI comenzó con una exploración de LEEP. Antes de este incidente, LEEP permitía que cualquiera solicitara una cuenta para comunicarse con el FBI. Como parte del proceso de registro, el sitio LEEP envía una confirmación por correo electrónico con un código de acceso único.

Pompompurin dijo que el propio sitio del FBI filtró ese código de acceso en su código HTML. Armado con ese código de acceso, el hacker dijo que se enviaron a sí mismos un correo electrónico desde una dirección específica del FBI. A partir de ahí, utilizaron un script para reemplazar el correo electrónico inicial con una línea de asunto y un mensaje diferentes y luego enviaron un mensaje de engaño automatizado a miles de direcciones derivadas de la base de datos ARIN.

“Podría haber usado esto al 1000% para enviar correos electrónicos de apariencia más legítima, engañar a las empresas para que entreguen datos, etc.”, dijo pompompurin a Krebs. “Y esto nunca lo habría encontrado nadie que lo divulgara responsablemente, debido al aviso que los federales tienen en su sitio web”.

VER: Los piratas informáticos mejoran en su trabajo, pero la gente mejora en la prevención (TechRepublic)

El correo electrónico de muestra publicado por Spamhaus en Twitter no solo trató de infundir miedo entre sus destinatarios, sino que también intentó desacreditar a un individuo llamado Vinny Troia, experto en ciberseguridad y fundador de la firma de inteligencia de darkweb Shadowbyte.

“La responsabilidad del ataque ha sido supuestamente reclamada por un hacker de sombrero negro conocido en Twitter bajo el mando, @pompompur_in, que es un conocido asociado del grupo de hackers ShinyHunters”, dijo Chris Morgan, analista senior de inteligencia de amenazas cibernéticas de la firma de seguridad Digital Shadows. “Pompompurin es muy activo en el foro de ciberdelincuentes RaidForums, donde el usuario se ha dirigido continuamente al investigador de seguridad Vinny Troia desde principios de 2021”.

¿Por qué comprometer un servicio del FBI más que hacer que la agencia parezca tonta?

“Hubo varias motivaciones probables: resaltar una vulnerabilidad de seguridad, hacerle una broma a Vinny Troia atribuyéndola falsamente en el correo electrónico falso y aprovechar la oportunidad para controlar la seguridad del FBI”, dijo Morgan. “Muchas empresas se habrían apresurado a responder a incidentes durante los primeros períodos del lunes por la mañana, por lo que parece que el actor responsable de los correos electrónicos habrá logrado su objetivo de crear travesuras”.

Este ataque muestra que incluso los correos electrónicos enviados desde fuentes legítimas no son necesariamente confiables.

“El último incidente de seguridad resultante del envío de correos electrónicos falsos desde el Law Enforcement Enterprise Portal (LEEP) es un recordatorio de que los ciberdelincuentes buscarán técnicas para entregar contenido malicioso bajo el disfraz de servicios legítimos”, dijo Joseph Carson, científico jefe de seguridad y asesor. CISO en ThycoticCentrify. “Esta vez, proviene de una dirección de correo electrónico legítima del FBI. Siempre es importante verificar todo, incluso si proviene de una fuente legítima. Recuerde, Zero Trust también se trata de tener Cero Supuestos”.

Ver también

Leave a Comment