O domínio do FBI (fbi.gov) foi invadido e abusado por um cibercriminoso, que enviou mais de 100 mil emails maliciosos (a partir de um endereço legítimo da corporação [fbi.gov]) na noite de sexta-feira (12) e manhã de sábado (13). O FBI confirmou que os emails foram disparados de seu servidor de emails, mas por um cibercriminoso que conseguiu acesso não autorizado a ele.
- Empresas devem voltar da pandemia mais preocupadas com cibersegurança, revela ESET
- Windows 11: conheça as novidades de segurança da nova versão do Windows
- Mais de 30 prefeituras foram invadidas por cibercriminosos desde o fim do ano passado
O jornalista independente, Brian Krebs, entrevistou o indivíduo que assumiu a responsabilidade pelo ataque, que revelou ter abusado de uma vulnerabilidade no código-fonte de um subdomínio do FBI, dedicado à compartilhamento de informações de empresas com as autoridades policiais. Identificado apenas como Pompompurin, o cibercriminoso disse ao jornalista que invadiu os serviços do FBI apenas para ganhar respeito e notoriedade na comunidade hacker.
"Eu poderia ter usado isso para enviar emails com aparência mais legítima e enganar empresas para entregarem seus dados [...] Isso nunca teria sido encontrado por um hacker ético, por conta dos avisos presentes no site do FBI", disse Pompompurin à Krebs.
A vulnerabilidade foi encontrada no serviço Law Enforcement Enterprise Portal (LEEP), que o próprio FBI descreve como "um portal que fornece recursos e benefícios, às agências de aplicação de lei, grupos de inteligência e entidades de justiça criminal."
Pompompurin explica que conseguiu enviar um email a si mesmo, a partir do domínio eims@ic.fbi.gov, editando a solicitação post do serviço e inserindo código malicioso nos campos "Assunto" e "Conteúdo da mensagem".
"Basicamente, quando você solicita o código de confirmação, ele é gerado do lado do cliente e enviado ao usuário por meio de uma solicitação POST [...] Esta solicitação POST inclui os parâmetros para assunto e conteúdo do corpo do email", explica.
FBI se manifesta
Além de Brian Krebs, a firma de inteligência de ameaças com foco em rastrear campanhas de spam por email, a Spamhaus, também revelou o ataque no sábado (13). Segundo a empresa, os emails, de fato, são fraudulentos e foram enviados a partir de um domínio legítimo do FBI.
"Fomos informados de emails assustadores enviados nas últimas horas, que parecem vir do FBI. Embora os emails estejam realmente sendo enviados de uma infraestrutura do FBI, nossa pesquisa mostra que são falsos [...] Os headers desses emails são reais e vêm de uma infraestrutura do FBI. Cuidado!", escreveu a empresa na manhã do sábado (13), no Twitter.
These emails look like this:
— Spamhaus (@spamhaus) November 13, 2021
Sending IP: 153.31.119.142 (https://t.co/En06mMbR88)
From: eims@ic.fbi.gov
Subject: Urgent: Threat actor in systems pic.twitter.com/NuojpnWNLh
Mais tarde, no domingo (14), o FBI publicou enviou um comunicado à imprensa, que diz:
“O FBI está ciente de uma configuração incorreta de software que permitiu temporariamente que um ator utilizasse o Law Enforcement Enterprise Portal (LEEP) para enviar e-mails falsos. LEEP é a infraestrutura de TI do FBI usada para se comunicar com nossos parceiros locais e estaduais de aplicação da lei. Embora o e-mail ilegítimo fosse originado de um servidor operado pelo FBI, esse servidor era dedicado a enviar notificações para LEEP e não fazia parte do serviço de e-mail corporativo do FBI. Nenhum ator foi capaz de acessar ou comprometer quaisquer dados ou PII na rede do FBI. Assim que soubemos do incidente, corrigimos rapidamente a vulnerabilidade do software, alertamos os parceiros para desconsiderar os e-mails falsos e confirmamos a integridade de nossas redes".
Fonte: Krebs on Security.