O Federal Bureau of Investigation (FBI) dos Estados Unidos reconheceu no sábado que seu sistema de email externo foi comprometido por hackers que enviaram emails de spam de um endereço de email legítimo do FBI para milhares de organizações alertando sobre um ataque cibernético iminente.
Relatado primeiro por Bleeping Computer, o e-mail falso fingia alertar as vítimas de um “ataque em cadeia sofisticado” de um ator de ameaças avançado conhecido como Vinny Troia, que é o chefe de pesquisa de segurança das empresas de inteligência dark web NightLion e Shadowbyte.
“O FBI e a CISA estão cientes do incidente esta manhã envolvendo e-mails falsos de uma conta de e-mail @ ic.fbi.gov. Esta é uma situação contínua e não podemos fornecer nenhuma informação adicional no momento. O hardware afetado foi colocado offline rapidamente após a descoberta do problema. Continuamos a encorajar o público a ser cauteloso com remetentes desconhecidos e encorajamos você a relatar atividades suspeitas para ic3.gov ou cisa.gov ”, disse o FBI em um comunicado no sábado.
De acordo com o Projeto Spamhaus, uma organização de inteligência sem fins lucrativos com sede na Europa que rastreia ameaças digitais, disse que os e-mails provavelmente foram enviados para mais de 100.000 endereços de e-mail em duas ondas na manhã de sábado.
Os avisos de segurança cibernética vieram de um endereço de e-mail legítimo – [email protected] – que é do Law Enforcement Enterprise Portal (LEEP) do FBI e trazia o assunto “Urgente: Agente de ameaça em sistemas” que terminava com a aprovação do Departamento de Segurança Interna (DHS).
Todos os e-mails foram enviados do endereço IP 153.31.119.142 do FBI (mx-east-ic.fbi.gov) para endereços de e-mail extraídos de um banco de dados do American Registry for Internet Numbers (ARIN), disse Spamhaus a Bleeping Computer.
O FBI disse no domingo que nenhum ator foi capaz de ar ou comprometer quaisquer dados ou impactar sua rede de computadores principal.
“Embora o e-mail ilegítimo fosse originado de um servidor operado pelo FBI, esse servidor era dedicado a enviar notificações para LEEP e não fazia parte do serviço de e-mail corporativo do FBI. Nenhum ator foi capaz de ar ou comprometer quaisquer dados ou PII na rede do FBI. Assim que soubemos do incidente, corrigimos rapidamente a vulnerabilidade do software, alertamos os parceiros para desconsiderar os e-mails falsos e confirmamos a integridade de nossas redes ”, disse o FBI em um comunicado atualizado no domingo.
Alex Grosjean, analista sênior de ameaças da Spamhaus, disse à CNN que quem executou o golpe não anexou nenhum link malicioso ao e-mail, o que significa que provavelmente era uma brincadeira com o objetivo de assustar os destinatários.
No entanto, não há dúvida de que os e-mails vieram de uma infraestrutura operada pelo FBI, pois os cabeçalhos da mensagem mostraram que sua origem foi validada por meio do sistema DomainKeys Identified Mail (DKIM), usado para evitar mensagens falsas.
“Esses e-mails de aviso falsos estão aparentemente sendo enviados para endereços retirados do banco de dados ARIN. Eles estão causando muitas interrupções porque os cabeçalhos são reais, eles realmente vêm da infraestrutura do FBI. Eles não têm nome ou informações de contato no .sig. Por favor, cuidado! ”, Spamhaus tweetou.
Não está claro como os e-mails foram enviados para mais de 100.000 endereços de e-mail.