信息來源:安全內(nèi)參
FBI 證實以該機構合法電子郵箱向 10,000 個收件箱發(fā)送了虛假的網(wǎng)絡攻擊電子郵件的事件�,受影響的軟件“迅速下線”��。
Spamhaus是一家致力于追蹤數(shù)字威脅的歐洲非營利組織����,它在推特上發(fā)文稱,它已經(jīng)“意識到來自 FBI 電子郵件地址的可怕電子郵件”�。
這封由國土安全部 (DHS) 簽署的電子郵件被發(fā)送給組織,警告他們正受到“復雜的”攻擊���。
聯(lián)邦調(diào)查局當?shù)貢r間11月13日在一份聲明中證實了網(wǎng)絡攻擊��,但表示情況仍在“持續(xù)”���,沒有透露 更多細節(jié)��。
攻擊行動的幕后黑手很可能是為了詆毀暗網(wǎng)情報公司Shadowbyte的創(chuàng)始人文尼·特羅亞(Vinny Troia)�����。
合法地址發(fā)送虛假內(nèi)容
Spamhaus項目是一個國際非營利組織����,專門跟蹤垃圾郵件和相關的網(wǎng)絡威脅(釣魚�����、僵尸網(wǎng)絡�、惡意軟件)。該項目的研究人員觀察到這種活動有兩波�,一波是在凌晨5點(UTC時間),另一波是在兩小時后��。
這些信息來自一個合法的電子郵件地址eims@ic.fbi.gov���,該地址來自FBI的執(zhí)法企業(yè)門戶網(wǎng)站(LEEP)���,標題為“緊急:系統(tǒng)中的威脅行為者”���。
Spamhaus稱,所有電子郵件都來自FBI的IP地址153.31.119.142 (mx- eastern . FBI .gov)����。
該消息警告稱,在接收方的網(wǎng)絡中檢測到威脅行為者�����,并已從設備中竊取數(shù)據(jù)�����。
Spamhaus項目告訴BleepingComputer��,這些虛假郵件已經(jīng)到達了至少10萬個郵箱�����。不過���,這個數(shù)字是一個非常保守的估計����,因為研究人員認為“這場運動的規(guī)?�?赡芤蟮枚?。”
在今天的一條推特中�,該非營利組織表示,這些收件人是從美國互聯(lián)網(wǎng)號碼登記(ARIN)數(shù)據(jù)庫中提取的�。
雖然這看起來像一個惡作劇,但毫無疑問����,這些郵件來自FBI的服務器,因為消息的標題顯示�����,它的來源是由DomainKeys Identified Mail (DKIM)機制驗證的��。
郵件頭還顯示了以下處理郵件的FBI內(nèi)部服務器:
dap00025.str0.eims.cjis
wvadc-dmz-pmo003-fbi.enet.cjis
dap00040.str0.eims.cjis
美國聯(lián)邦調(diào)查局證實�����,這些郵件的內(nèi)容是假的,他們正在努力解決這個問題����,因為憂心忡忡的管理人員打電話給他們的求助臺。
FBI在給BleepingComputer的一份聲明中表示�,由于目前的情況,他們無法分享更多信息��。
“聯(lián)邦調(diào)查局和CISA已經(jīng)注意到今天上午發(fā)生的這起事件�����,涉及一個@ic.fbi.gov電子郵件賬戶的虛假郵件�����。這是一個正在進行的情況�����,我們目前無法提供任何額外的信息��。我們繼續(xù)鼓勵公眾對未知發(fā)件人保持謹慎�,并敦促你向www.ic3.gov或www.cisa.gov報告可疑活動�?���!?
旨在詆毀安全研究人員
攻擊行動的幕后黑手很可能是為了詆毀暗網(wǎng)情報公司Shadowbyte的創(chuàng)始人文尼·特羅亞(Vinny Troia)�,他在郵件中被指名為制造虛假供應鏈攻擊的威脅行動者。
raidforum黑客社區(qū)的成員與Troia有著長期的不和����,他們經(jīng)常破壞網(wǎng)站,并在他們指責安全研究人員的地方進行輕微的黑客攻擊���。
文尼·特羅亞(Vinny Troia)在關于這一垃圾郵件活動的推特上暗示���,一個名為“pompomourin”的人可能是這次攻擊的發(fā)起者。特羅亞說����,在過去,這些人曾與旨在損害安全研究員聲譽的事件有關�����。
在接受BleepingComputer采訪時�����,特羅亞說:“我猜‘pompomourin’和他的手下是這起事件的幕后黑手?�!?
“上次他們(pompompurin)黑進國家失蹤兒童中心的網(wǎng)站博客����,并發(fā)布了一個關于我是戀童癖的帖子”——Vinny Troia
“pompompurin”在垃圾郵件活動開始前的幾個小時聯(lián)系了Troia,只是簡單地說“請享受”����,以此警告即將發(fā)生與研究人員有關的事情,這一事實進一步支持了這一假設����。
特羅亞說,“pompompurin”每次發(fā)動攻擊時都會給他發(fā)信息��,讓他不相信研究人員�。
注:(目前觀測,F(xiàn)BI郵件服務器整體被黑的可能性不大�����,應當是eims@ic.fbi.gov這個郵箱賬戶被攻陷�����,黑客可以登錄使用這個郵箱賬戶)
參考資源
1、https://www.bignewsnetwork.com/news/271721631/fbi-server-hacked-to-send-thousands-of-cyberattack-warnings?utm_source=feeds.bignewsnetwork.com&utm_medium=referral
2��、https://www.bleepingcomputer.com/news/security/fbi-system-hacked-to-email-urgent-warning-about-fake-cyberattacks/
3��、https://www.dailymail.co.uk/news/article-10199139/FBI-confirms-federal-agency-sent-fake-cyberattack-emails-10-000-inboxes.html#comments
