Gli hacker hanno preso di mira i server di posta elettronica del Federal Bureau of Investigation (FBI), inviando migliaia di messaggi fasulli che affermano che i suoi destinatari sono diventati vittime di un “sofisticato attacco a catena”, riportato per la prima volta da Bleeping Computer . Le e-mail sono state inizialmente scoperte da The Spamhaus Project , un’organizzazione senza scopo di lucro che indaga sugli spammer di e-mail.
Le e-mail affermano che Vinny Troia era dietro i falsi attacchi e affermano anche falsamente che Troia è associata al famigerato gruppo di hacker, The Dark Overlord, gli stessi cattivi attori che hanno trapelato la quinta stagione di Orange Is the New Black . In realtà, Troia è un importante ricercatore di sicurezza informatica che gestisce due società di sicurezza del dark web, NightLion e Shadowbyte.
Come notato da Bleeping Computer , gli hacker sono riusciti a inviare e-mail a oltre 100.000 indirizzi, che sono stati tutti cancellati dal database dell’American Registry for Internet Numbers (ARIN). Un rapporto di Bloomberg afferma che gli hacker hanno utilizzato il sistema di posta elettronica pubblico dell’FBI, facendo sembrare le e-mail ancora più legittime. Anche il ricercatore di sicurezza informatica Kevin Beaumont attesta l’aspetto legittimo dell’e-mail, affermando che le intestazioni sono autenticate come provenienti dai server dell’FBI utilizzando il processo Domain Keys Identified Mail (DKIM) che fa parte del sistema utilizzato da Gmail per incollare i loghi del marchio sulle e-mail aziendali verificate .
L’FBI ha risposto all’incidente in un comunicato stampa , sottolineando che si tratta di una “situazione in corso” e che “l’hardware interessato è stato messo offline”. A parte questo, l’FBI afferma di non avere più informazioni da condividere in questo momento.
Secondo Bleeping Computer , la campagna di spam è stata probabilmente condotta come un tentativo di diffamare Troia. In un tweet , Troia ipotizza che un individuo che si fa chiamare “Pompompurin” potrebbe aver lanciato l’attacco. Come osserva Bleeping Computer , quella stessa persona avrebbe tentato di danneggiare la reputazione di Troia in modi simili in passato.
Un rapporto del reporter di sicurezza informatica Brian Krebs collega anche Pompompurin all’incidente: l’individuo gli avrebbe inviato un messaggio da un indirizzo e-mail dell’FBI quando sono stati lanciati gli attacchi, affermando: “Ciao, è pompompurin. Controlla le intestazioni di questa e-mail, in realtà proviene dal server dell’FBI. KrebsOnSecurity ha anche avuto la possibilità di parlare con Pompompurin, il quale afferma che l’hack aveva lo scopo di evidenziare le vulnerabilità della sicurezza all’interno dei sistemi di posta elettronica dell’FBI.
“Avrei potuto usarlo al 1000 percento per inviare e-mail dall’aspetto più lecito, indurre le aziende a consegnare dati, ecc.”, ha detto Pompompurin in una dichiarazione a KrebsOnSecurity . L’individuo ha anche detto all’outlet di aver sfruttato una lacuna di sicurezza sul portale dell’FBI Law Enforcement Enterprise (LEEP) ed è riuscito a registrarsi per un account utilizzando una password monouso incorporata nell’HTML della pagina. Da lì, Pompompurin afferma di essere stato in grado di manipolare l’indirizzo del mittente e il corpo dell’e-mail, eseguendo la massiccia campagna di spam.
Con quel tipo di accesso, l’attacco avrebbe potuto essere molto peggio di un falso allarme che ha messo in allerta gli amministratori di sistema. All’inizio di questo mese, il presidente Joe Biden ha incaricato una correzione di bug che richiede alle agenzie federali civili di correggere eventuali minacce note. A maggio, Biden ha firmato un ordine esecutivo che mira a migliorare le difese informatiche della nazione a seguito di attacchi dannosi alla Colonial Pipeline e SolarWinds .