We have been made aware of "scary" emails sent in the last few hours that purport to come from the FBI/DHS. While the emails are indeed being sent from infrastructure that is owned by the FBI/DHS (the LEEP portal), our research shows that these emails *are* fake.
Czy zaledwie podszyto się pod serwery FBI? Okazuje się, że nie – wiadomości zostały wysłane wprost z jednego z serwerów FBI (IP: 153.31.119.142 mx-east-ic.fbi.gov).
Received: from mx-east-ic.fbi.gov ([153.31.119.142]:33505 helo=mx-east.fbi.gov)
envelope-from
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=fbi.gov; s=cjis; t=1636779463; x=1668315463;
h=date:from:to:message-id:subject:mime-version;
bh=UlyBPHe3aElw3Vfnk/pqYLsBAoJGDFR1NyZFcSfpl5g=;
b=N3YzXzJEbQCTJGh8qqjkYu/A5DTE7yoloPgO0r84N+Bm2ae6f+SxzsEq
nbjnF2hC0WtiVIMMUVGzxWSiZjq1flEygQGI/JVjjk/tgVVPO5BcX4Os4
vIeg2pT+r/TLTgq4XZDIfGXa0wLKRAi8+e/Qtcc0qYNuTINJDuVxkGNUD
62DNKYw5uq/YHyxw+nl4XQwUNmQCcT5SIhebDEODaZq2oVHJeO5shrN42
urRJ40Pt9EGcRuzNoimtUtDYfiz3Ddf6vkFF8YTBZr5pWDJ6v22oy4mNK
F8HINSI9+7LPX/5Td1y7uErbGvgAya5MId02w9r/p3GsHJgSFalgIn+uY
Q==;
X-IronPort-AV: E=McAfee;i="6200,9189,10166"; a="4964109"
X-IronPort-AV: E=Sophos;i="5.87,231,1631577600";
d="scan'208";a="4964109"
Received: from dap00025.str0.eims.cjis ([10.67.35.50])
by wvadc-dmz-pmo003-fbi.enet.cjis with ESMTP/TLS/ECDHE-RSA-AES256-GCM-SHA384; 13 Nov 2021 04:57:41
+0000
Received: from dap00040.str0.eims.cjis (dap00040.str0.eims.cjis [10.66.2.72])
by dap00025.str0.eims.cjis (8.14.4/8.13.8) with ESMTP id 1AD4vf5M029322
for ; Fri, 12 Nov 2021 23:57:41 -0500
Date: Fri, 12 Nov 2021 23:57:41 -0500 (EST)
From: eims@ic.fbi.gov
v=DMARC1; p=reject; rua=mailto:dmarc-feedback@fbi.gov,mailto:reports@dmarc.cyber.dhs.gov; ruf=mailto:dmarc-feedback@fbi.gov; pct=100
Operacja ma na celu zdyskredytowanie badacza (Vinny Troya), który zalazł za skórę niejednemu po ciemnej stronie mocy. Sam badacz komentuje to w następujący sposób:
Should I be flattered that the kids who hacked the @FBI email servers decided to do it in my name? https://t.co/U4wti1mNNI
Skoro maile nie były złośliwe, a tylko zawierały reklamowy spam, to podejrzewam taki scenariusz:
Robiono jakąś zmianę konfiguracji na MTA i przypadkowo przez zwykły ludzki błąd serwer stał się open relay. Boty skanujące wykryły go i… stąd ten spam.
Skoro maile nie były złośliwe, a tylko zawierały reklamowy spam, to podejrzewam taki scenariusz:
Robiono jakąś zmianę konfiguracji na MTA i przypadkowo przez zwykły ludzki błąd serwer stał się open relay. Boty skanujące wykryły go i… stąd ten spam.
Brian Krebs opisał w miarę szczegółowo co się wydarzyło, dostał wiadomość od osoby stojącej za tym incydentem.