美国联邦调查局(FBI)周六证实,不明身份的威胁者入侵了它的一个电子邮件服务器,发出了关于伪造的”复杂连锁攻击“的恶作剧信息。
该事件首先由威胁情报非营利组织SpamHaus公开披露,涉及发送来自合法FBI电子邮件地址“eims@ic.fbi[.]gov”的恶意警告电子邮件,主题为“紧急:系统中的威胁参与者”,将攻击事件归咎于安全研究员、暗网情报公司Night Lion Security和Shadowbyte的创始人Vinny Troia同时还声称他与名为TheDarkOverlord的黑客组织有关联。
SpamHaus引用其自己的遥测数据指出,电子邮件轰炸发生在两次“垃圾邮件”时间段中,一次是在UTC上午5:00之前不久,另一次是在UTC上午7:00之后不久。
然而,根据Kryptos Logic研究员马库斯·哈钦斯(Marcus Hutchins)的说法,其目的似乎是为了诋毁Troia。“Vinny Troia写了一本书,披露了有关黑客组织TheDarkOverlord的信息。不久之后,有人开始删除ElasticSearch集群并留下他的名字。后来他的Twitter被黑客入侵,然后是他的网站。现在一个被黑客入侵的FBI电子邮件服务器正在发送这个邮件。”Hutchins在推特上说。
Krebs on Security的布赖恩·克雷布斯(Brian Krebs)也收到了肇事者的一封独立信件,他在一份独立报告中详细说明:“垃圾邮件是通过滥用FBI在线门户中的不安全代码发送的,该门户旨在与州和地方执法当局共享信息。”
Pompompurin(这个黑客实体在网上的名字)告诉Krebs,该漏洞是通过利用联邦调查局执法企业门户(LEEP)的一个缺陷进行的,该缺陷不仅允许任何个人申请一个账户,而且还泄露了发给申请人确认其注册的一次性密码,有效地使他们能够拦截和篡改HTTP请求,将自己的虚假信息发送到成千上万的电子邮件地址。
该机构在一份声明中说:“联邦调查局意识到软件配置错误,暂时允许攻击者利用执法企业门户(LEEP)发送虚假电子邮件。”“虽然非法电子邮件来自FBI运营的服务器,但该服务器专用于推送LEEP通知,而不是FBI电子邮件服务的一部分。没有任何攻击者能够访问或破坏FBI网络上的任何数据或PII。”
“黑掉联邦调查局电子邮件服务器的孩子们决定以我的名义来做这件事,我应该感到受宠若惊吗?”Troia后来发推文,同时还暗示Pompompurin是诽谤活动的策划者。当天早些时候,该推特账号的负责人表示:“我没有参与任何非法活动。请注意,这个账号也是由[Vinny Troia]运营的。”