聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
摘要
身份不明的黑客利用美国联邦调查局 (FBI) 的一台邮件服务器大规模发送垃圾邮件,发出虚假警报,谎称一场网络攻击正在发生。声称为此事负责的黑客 Pompompurin 指出,FBI 的邮件服务器并未被黑,而是LEEP 门户网站上的URL 可使未清理参数转换为可发送的邮件,通过被滥用的邮件服务器发送给数万家企业。
Spamhaus 公司的首席数据官 Carel Bitter 指出,影响的是FBI 用于发送公共票务和警报系统的一台邮件服务器。Bitter 是第一个发现这些攻击的人,表示检测到攻击后尽快通知了FBI,不过彼时FBI员工也发现了该事件。
真实FBI 服务器大规模发送虚假威胁情报
美国东海岸时间11月12日晚上, FBI 地址 eims@ic.fbi.gov 发送数万份邮件,称网络攻击正在发生。著名安全记者 Krebs 称自己也收到了这份邮件,从邮件的信息标头来看,确实是由 FBI 从自己的互联网地址发送的。邮件中的 “from:” 部分中的域名是 eims@ic.fbi.gov,确实和FBI 刑事司法信息服务 (CJIS) 相对应。美国司法部指出,“CJIS 管理和运行由公共安全社区用于刑事和民事目的的多个国家犯罪信息系统。CJIS 系统适用于刑事司法社区,包括执法部门、监狱、检察官、法院以及缓刑监控及预审服务。”
Bitter 称大量焦急的组织机构向FBI 办事处打电话和发送邮件,要求获取更多攻击详情。虽然这些邮件发出的显然是虚假的威胁警报,但却引发了某些收件人的恐慌,因为这些信息通过了 SPF 和 DKIM 安全检查,意味着信息是从真正的 FBI 服务器发出的而且通过了所有人的垃圾邮件过滤器。
构陷安全大拿 Vinny Troia
然而,虽然这些邮件通过了加密检查,但其中所含内容显然不合理。
首先,像 FBI 这样的组织机构从来不会在发送的安全警报中出现无数拼写错误,这些信息公然试图构陷 NightLion Security 安全公司的创始人 Vinny Troia,污蔑他是“复杂链攻击”的始作俑者。
从如下邮件副本中可知,黑客试图诱骗组织机构相信FBI已检测到 Troia 试图从他们网络中窃取数据。
关于系统中威胁行动者的紧急警报
我们的情报监控显示,您多个虚拟化集群在复杂链攻击中遭渗透。我们尝试阻止该APT组织使用的传输节点,然而他将极可能通过高超技术修改攻击,通过多个全球加速器代理这些技术。我们发现该威胁行动者是【Vinny Troia】,他被指和勒索团伙 TheDarkOverlord 存在关联。我们强烈建议您检查系统和IDS监控。请注意,该威胁行动者目前正在 NCCIC 的审查下运行,因为我们依赖于他的某些情报研究,因此无法在4小时内物理干涉,而在这个时间段内足以对您的基础设施造成严重损害。
KryptosLogic 公司的恶意软件分析师 Marcus Hutchins 指出,这是一场骗局。Hutchins 表示,“Vinny Troia 所著的一本书中谈到了 TheDarkOverlord 的信息。此后不久,有人开始以他的名义擦除 ElasticSearch 集群。之后他的推特被黑,接着网站也被黑。现在又有被黑的FBI邮件服务器发送这个。”
而Troia 指出,这起事件可能是由 “pompompurin” 制造的,因为后者过去曾参与损坏他名声的多起安全事件。
FBI 证实被黑;关闭服务器
今天早些时候,FBI的一名发言人证实称 fbi.gov 域名和互联网地址被滥用与发规模发送数万份虚假邮件警报。
FBI 指出已发现这起安全事件,目前正在调查并且已关闭受陷服务器阻止垃圾邮件发送。
由于该邮件服务器似乎是用作某种自动化邮件系统,Bitter 指认为黑客应该是利用了服务器上运行的软件中的某个漏洞,发送信息;然而,这只是基于现有信息的一种理论推测。
至于攻击的规模,Bitter 认为攻击者似乎使用了公开邮件地址的数据库发送垃圾邮件。这个数据库可能是美国互联网号码注册管理机构 (ARIN) 数据库。该机构持有北美地区用于注册 web 域名的邮件,这些信息易于任何威胁行动者爬取并编译,不过也有可能使用的其它来源。
黑客现身:低质量代码是元凶
声称为此攻击负责的黑客 Pompompurin 表示,攻击是通过FBI 系统中的一个漏洞引发的。他指出,“我本来1000%使用这个漏洞发送看起来更加合法的邮件,诱骗企业交出数据等。因为联邦机构在网上发出了通知,而且任何人都不会发现,任何人都会这样负责任地披露。“
Pompompurin 表示通过探索FBI 执法企业门户 (LEEP) 获得对 FBI 邮件系统的非法访问权限,而FBI 对 LEEP 的声明是“为执法机构、情报组织和刑事司法实体提供访问有益资源权限的网关”,FBI 还进一步指出,”这些资源将加强调查人员之间的案例开发,增强机构之间的信息共享,并可在一个集中化位置即可访问“。
而在攻击事件发生前,该LEEP门户允许任何人申请账户。而且美国司法部网站上还给出了如何在LEEP门户尚注册新账户的步骤指南。【值得注意的是,“步骤1”是访问微软的IE浏览器,但实际上甚至连微软都建议出于安全原因考虑,不建议用户使用该浏览器。】
注册的很多步骤中涉及填写申请人个人和通讯信息及其所在机构的表单。该流程中的一个关键步骤是申请人将从 eims@ic.fbi.gov 中收到一份邮件,内含一次性密码,显然是用于验证申请人可在该域名接收邮件。
但 Pompompurin 指出,FBI 网站本身在网页的HTML代码中泄露了这个一次性密码。
他指出,只要编辑发送到浏览器的请求并修改信息 “Subject” 字段和 “Tex Content” 字段的文本即可从 eims@ic.fbi.gov 给自己发送邮件。
他表示,“本质上来说,当你请求在客户端生成的确认码,它就会通过 POST 请求发送给你。这个POST 请求包括邮件主题和主体内容的参数。”
Pompompurin 表示,通过一个简单脚本,他用自己的信息主题和主体替换了这些参数并自动向数千个邮件地址发送虚假信息。
他指出,“无需多言,这是任何网站都不愿看到的事情。我此前遇见几次,不过都不是政府网站,更别说FBI管理的网站了。”
被构陷的安全研究员 Troia 曾在2018年发表了一篇名为《当网络犯罪分子伪装成安全研究员,谁能区分呢?》的文章,而这次攻击无疑再次模糊了二者之间的区别。
FBI 声明
FBI 发布的声明如下。
FBI 发现某软件配置不当临时导致威胁行动者利用LEEP 发送虚假邮件。LEEP 是 FBI 与州和地方执法合作伙伴通信的 IT 基础设施。虽然非法邮件源自FBI运营的一台服务器,但该服务器专门用于为LEEP推送通知,而非FBI企业邮件服务的组成部分。任何威胁行动者无法访问或攻陷FBI网络上的数据或个人可识别信息。获知该消息后,我们迅速修复了该软件漏洞,提醒合作伙伴无视这些虚假邮件,并证实了我们网络的完整性。
我们将持续关注事态进展。
推荐阅读
奇安信代码卫士携手中软国际解放号,联合打造软件安全开发在线服务
奇安信代码卫士帮助微软和 Oracle 修复多个高危漏洞,获官方致谢
原文链接
https://therecord.media/official-fbi-email-server-hacked-used-to-send-fake-threat/
https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/
https://mobile.twitter.com/matthew1471/status/1459841192506572801
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
5571
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
