Χάκερ στόχευσαν τους διακομιστές email του Ομοσπονδιακού Γραφείου Ερευνών (FBI), στέλνοντας χιλιάδες ψεύτικα μηνύματα που λένε ότι οι παραλήπτες του έχουν πέσει θύματα μιας «σύνθετης αλυσιδωτής επίθεσης», που αναφέρθηκε για πρώτη φορά από την Bleeping Computer και τα μηνύματα ηλεκτρονικού ταχυδρομείου αποκαλύφθηκαν αρχικά από το The Spamhaus Project, έναν μη κερδοσκοπικό οργανισμό που ερευνά τους spammers email.
Τα email υποστηρίζουν ότι ο Vinny Troia ήταν πίσω από τις ψεύτικες επιθέσεις και επίσης δηλώνουν ψευδώς ότι η Troia σχετίζεται με τη διαβόητη ομάδα hacking, The Dark Overlord – τους ίδιους χάκερς που διέρρευσαν την πέμπτη σεζόν του Orange Is the New Black. Στην πραγματικότητα, η Troia είναι μια εξέχουσα ερευνήτρια κυβερνοασφάλειας που διευθύνει δύο εταιρείες ασφάλειας σκοτεινού ιστού, τη NightLion και τη Shadowbyte.
Όπως σημειώνεται από το Bleeping Computer, οι χάκερ κατάφεραν να στείλουν μηνύματα ηλεκτρονικού ταχυδρομείου σε περισσότερες από 100.000 διευθύνσεις, όλες από τις οποίες αφαιρέθηκαν από τη βάση δεδομένων του American Registry για Internet Numbers (ARIN). Μια αναφορά του Bloomberg λέει ότι οι χάκερ χρησιμοποίησαν το δημόσιο σύστημα email του FBI, κάνοντας τα email να φαίνονται ακόμη πιο νόμιμα. Ο ερευνητής κυβερνοασφάλειας Kevin Beaumont επιβεβαιώνει επίσης τη νόμιμη εμφάνιση του email, δηλώνοντας ότι οι κεφαλίδες ελέγχονται ότι προέρχονται από διακομιστές του FBI χρησιμοποιώντας τη διαδικασία Domain Keys Identified Mail (DKIM) που αποτελεί μέρος του συστήματος που χρησιμοποιεί το Gmail για να κολλάει λογότυπα επωνυμίας σε επαληθευμένα εταιρικά email.
Το FBI απάντησε στο περιστατικό σε ένα δελτίο τύπου, σημειώνοντας ότι πρόκειται για μια «συνεχιζόμενη κατάσταση» και ότι «το υλικό που επηρεάστηκε βγήκε εκτός σύνδεσης». Εκτός από αυτό, το FBI λέει ότι δεν έχει περισσότερες πληροφορίες που μπορεί να μοιραστεί αυτήν τη στιγμή.
Σύμφωνα με το Bleeping Computer, η εκστρατεία ανεπιθύμητης αλληλογραφίας πιθανότατα πραγματοποιήθηκε ως προσπάθεια δυσφήμισης της Troia. Σε ένα tweet, η Troia εικάζει ότι ένα άτομο που ακούει στο όνομα “Pompompurin” μπορεί να έχει εξαπολύσει την επίθεση. Όπως σημειώνει η Bleeping Computer, το ίδιο άτομο φέρεται να προσπάθησε να βλάψει τη φήμη της Troia με παρόμοιους τρόπους στο παρελθόν.
Μια αναφορά του δημοσιογράφου για την ασφάλεια υπολογιστών Brian Krebs συνδέει επίσης τον Pompompurin με το περιστατικό – το άτομο φέρεται να του έστειλε μήνυμα από μια διεύθυνση ηλεκτρονικού ταχυδρομείου του FBI όταν ξεκίνησαν οι επιθέσεις, δηλώνοντας: «Γεια σου, είμαστε το Pompompurin. Έλεγξε τις κεφαλίδες αυτού του μηνύματος ηλεκτρονικού ταχυδρομείου ότι στην πραγματικότητα προέρχεται από τον διακομιστή του FBI.” Το KrebsOnSecurity είχε μάλιστα την ευκαιρία να μιλήσει με τον Pompompurin, ο οποίος ισχυρίζεται ότι η εισβολή είχε σκοπό να τονίσει τις ευπάθειες ασφαλείας στα συστήματα email του FBI.
«Θα μπορούσα να το χρησιμοποιήσω 1000 τοις εκατό για να στείλω μηνύματα ηλεκτρονικού ταχυδρομείου με πιο νόμιμη εμφάνιση, να ξεγελάσω εταιρείες για να παραδώσουν δεδομένα κ.λπ.», δήλωσε ο Pompompurin σε δήλωση στο KrebsOnSecurity. Το άτομο είπε επίσης στο πρακτορείο ότι εκμεταλλεύτηκαν ένα κενό ασφαλείας στην πύλη του FBI Law Enforcement Enterprise (LEEP) και κατάφεραν να εγγραφούν σε έναν λογαριασμό χρησιμοποιώντας έναν εφάπαξ κωδικό πρόσβασης ενσωματωμένο στο HTML της σελίδας. Από εκεί, ο Pompompurin ισχυρίζεται ότι ήταν σε θέση να χειραγωγήσουν τη διεύθυνση και το σώμα του email του αποστολέα, εκτελώντας τη μαζική καμπάνια ανεπιθύμητων μηνυμάτων.
Με αυτό το είδος πρόσβασης, η επίθεση θα μπορούσε να ήταν πολύ χειρότερη από μια ψευδή ειδοποίηση που έθεσε τους διαχειριστές του συστήματος σε υψηλή εγρήγορση. Νωρίτερα αυτό το μήνα, ο Πρόεδρος Τζο Μπάιντεν έδωσε εντολή για μια διόρθωση σφαλμάτων που καλεί τις μη στρατιωτικές ομοσπονδιακές υπηρεσίες να διορθώσουν τυχόν γνωστές απειλές. Τον Μάιο, ο Μπάιντεν υπέγραψε ένα εκτελεστικό διάταγμα που αποσκοπεί στη βελτίωση της κυβερνοάμυνας του έθνους στον απόηχο των επιζήμιων επιθέσεων στον αγωγό Colonial Pipeline και στη SolarWinds.
