Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Zhackowali serwer FBI i wysłali > 100 000 maili ostrzegających o „cyberataku”

13 listopada 2021, 21:02 | W biegu | komentarze 2

O problemie donosi Spamhaus:

Sam z kolei e-mail wygląda tak:

Czy zaledwie podszyto się pod serwery FBI? Okazuje się, że nie – wiadomości zostały wysłane wprost z jednego z serwerów FBI (IP: 153.31.119.142 mx-east-ic.fbi.gov).

Jeśli chcecie poanalizować trochę nagłówki tego maila, przykład podaje Bleepingcomputer:

Received: from mx-east-ic.fbi.gov ([153.31.119.142]:33505 helo=mx-east.fbi.gov)
envelope-from 
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=fbi.gov; s=cjis; t=1636779463; x=1668315463;
  h=date:from:to:message-id:subject:mime-version;
  bh=UlyBPHe3aElw3Vfnk/pqYLsBAoJGDFR1NyZFcSfpl5g=;
  b=N3YzXzJEbQCTJGh8qqjkYu/A5DTE7yoloPgO0r84N+Bm2ae6f+SxzsEq
   nbjnF2hC0WtiVIMMUVGzxWSiZjq1flEygQGI/JVjjk/tgVVPO5BcX4Os4
   vIeg2pT+r/TLTgq4XZDIfGXa0wLKRAi8+e/Qtcc0qYNuTINJDuVxkGNUD
   62DNKYw5uq/YHyxw+nl4XQwUNmQCcT5SIhebDEODaZq2oVHJeO5shrN42
   urRJ40Pt9EGcRuzNoimtUtDYfiz3Ddf6vkFF8YTBZr5pWDJ6v22oy4mNK
   F8HINSI9+7LPX/5Td1y7uErbGvgAya5MId02w9r/p3GsHJgSFalgIn+uY
   Q==;
   X-IronPort-AV: E=McAfee;i="6200,9189,10166"; a="4964109"
   X-IronPort-AV: E=Sophos;i="5.87,231,1631577600"; 
   d="scan'208";a="4964109"
Received: from dap00025.str0.eims.cjis ([10.67.35.50])
  by wvadc-dmz-pmo003-fbi.enet.cjis with ESMTP/TLS/ECDHE-RSA-AES256-GCM-SHA384; 13 Nov 2021 04:57:41 
+0000
Received: from dap00040.str0.eims.cjis (dap00040.str0.eims.cjis [10.66.2.72])
	by dap00025.str0.eims.cjis (8.14.4/8.13.8) with ESMTP id 1AD4vf5M029322
	for ; Fri, 12 Nov 2021 23:57:41 -0500
Date: Fri, 12 Nov 2021 23:57:41 -0500 (EST)
From: eims@ic.fbi.gov


v=DMARC1; p=reject; rua=mailto:dmarc-feedback@fbi.gov,mailto:reports@dmarc.cyber.dhs.gov; ruf=mailto:dmarc-feedback@fbi.gov; pct=100

Operacja ma na celu zdyskredytowanie badacza (Vinny Troya), który zalazł za skórę niejednemu po ciemnej stronie mocy. Sam badacz komentuje to w następujący sposób:

Pełne ręce roboty ma też FBI – bo jak się domyślacie telefony do nich się urywają…

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Therminus

    Skoro maile nie były złośliwe, a tylko zawierały reklamowy spam, to podejrzewam taki scenariusz:
    Robiono jakąś zmianę konfiguracji na MTA i przypadkowo przez zwykły ludzki błąd serwer stał się open relay. Boty skanujące wykryły go i… stąd ten spam.

    Odpowiedz
  2. Marek

    Brian Krebs opisał w miarę szczegółowo co się wydarzyło, dostał wiadomość od osoby stojącej za tym incydentem.

    Odpowiedz

Odpowiedz