Siber suçlular bir FBI e-posta sunucusunu ele geçirdi. Ardından 100.000'den fazla istenmeyen e-posta gönderdiler ve bir siber saldırı uyarısı aldılar.
Bilinmeyen saldırganlar, FBI sunucularındaki bir hesaptan e-posta göndermeyi başardı. 13 Kasım 2021 Cumartesi sabahı (Almanya saati ile) erken saatlerde, birçok ABD yöneticisi ani bir e-posta seli ile mücadele etti. Göndericinin ABD Federal Soruşturma Bürosu (FBI) olduğu tahmin ediliyor. "Acil: Sistemdeki Saldırgan" konulu e-postalar, gelişmiş bir tehdit aktörü tarafından "sofistike zincirleme saldırı" konusunda uyarıldı.
Yalan haber olarak görülmesi kolay
Mesaj, gönderici eims@ic.fbi.gov ile 153.31.119.142 (mx-east-ic.fbi.gov) IP adresinden gönderilmiştir. Posta metnine daha yakından bakan ve güvenlik sahnesine aşina olan herkes, bu uyarının sahte olması gerektiğini hemen anladı. Çünkü tehdit aktörü olarak Vinny Troia seçildi. Troia, karanlık web istihbarat şirketleri NightLion ve Shadowbyte için güvenlik araştırması başkanıdır.
Kar amacı gütmeyen kuruluş SpamHaus kısa süre sonra bir tweet'te uyarı e-postalarının gerçekten de FBI / DHS'den (Federal Soruşturma Bürosu / İç Güvenlik Bakanlığı) geldiğini doğruladı, ancak içeriğin sadece sahte olduğunu söyledi.
Bu sahte uyarı e-postaları, ARIN veri tabanından alınmış gibi görünen adreslere gönderilir. Toplamda 100.000'den fazla e-postanın, mesaj başlıklarının gerçek olması ve FBI altyapısı tarafından gönderilmesi nedeniyle alıcılarda çok fazla rahatsızlığa neden olduğuna inanılıyor. İstenmeyen posta filtreleri, bu iletilerin itiraz etmeden geçmesine izin verir.
FBI donanımı çevrimdışına alındı
SpamHaus daha sonra, telemetrilerine dayanarak, postaların 05:00 (UTC) ve 07:00 (UTC) olmak üzere iki dalga halinde gönderildiğini yazdı. Bu e-postalar imza bölümünde herhangi bir isim veya iletişim bilgisi içermediğinden, SpamHaus alıcılardan dikkatli olmalarını rica eder.
Birkaç saat sonra FBI, bir @ic.fbi.gov e-posta hesabından sahte e-postaların gönderildiği olaydan FBI ve CISA'nın haberdar olduğunu belirten ince bir bildiri yayınladı. Durum henüz sona ermedi ve bu noktada daha fazla bilgi verilemez. Sorun keşfedildikten sonra etkilenen donanım hızla çevrimdışına alındı.
Sebepler ve failler bilinmiyor
FBI, halkı e-postalarda bilinmeyen gönderenlere karşı dikkatli olmaya devam etmeye ve şüpheli etkinlikleri ic3.gov veya cisa.gov'a bildirmeye teşvik ediyor. Ancak söz konusu e-postalar güvenilir e-posta sunucularından geldiği için ilgililere pek yardımcı olmuyor.
Saldırının arkasında kimin olduğu bilinmiyor. Güvenlik çevreleri arka plan hakkında spekülasyon yapıyor. Vinny Troia ve şirketlerinin itibarının zedelenmesi olası bir sebeptir. Veya birisi FBI'ın BT altyapısının da hacklenebileceğini göstermek istedi.