联邦调查局(FBI) 官方邮箱在一夜之间分发高达10万封+垃圾邮件，冒充FBI警告称收件人的网络遭到破坏且数据被盗。这些电子邮件假装警告来自一个已知的高级威胁参与者的“复杂的链式攻击”，自称为Vinny Troia。而Vinny Troia是暗网情报公司NightLion和Shadowbyte的安全研究负责人。

Spamhaus Project是一家追踪垃圾邮件和相关网络威胁(网络钓鱼、僵尸网络、恶意软件)的国际非营利组织，其研究人员观察到了该活动的两波攻击，第一波是在凌晨5点 (UTC)，第二波是在两小时后。Spamhaus Project透露，假电子邮件至少到达了100000个邮箱。然而，这个数字是一个非常保守的估计，因为研究人员认为“这场运动可能要大得多”。其透露所有电子邮件都来自FBI的IP地址153.31.119.142(mx-east-ic.fbi.gov )。

发送的虚假邮件--机翻：

紧急：系统中的威胁

我们的智能监控表明，在复杂的连环攻击中，您的几个虚拟化集群被过滤。我们试图将这名高级持续威胁参与者使用的传输节点设为黑洞，但他很有可能会使用fastflux技术修改其攻击，他通过多个全球加速器代理该技术。我们确定威胁行为人是Vinny Troia，据信他与“霸王”勒索团伙有关联。我们强烈建议您检查您的系统和IDS监控。请注意，该威胁行为人目前正在接受NCCIC的检查，因为我们依赖于他的一些情报研究，我们不能在4小时内进行物理干扰，这可能足以对您的基础设施造成严重破坏。

保持安全，

美国国土安全部|网络威胁检测与分析|网络分析小组

联邦调查局(FBI)日前已证实，其fbi.gov域名和互联网地址被用来发送了上十万封伪造的电子邮件。根据对声称对这起恶作剧负责的人的采访，垃圾邮件是通过滥用FBI在线门户中的不安全代码发送的，该门户旨在与州和地方执法当局共享信息。

事件如何发生

美国东部时间11月12日深夜(中国时间周六早上)，数以万计的电子邮件开始从FBI地址[email protected]涌出，警告有关虚假网络攻击。对电子邮件消息标题的审查表明它确实是由FBI邮箱发送的，并且来自该机构自己的互联网地址。

根据美国司法部的说法，“CJIS管理和运营公共安全社区用于刑事和民事目的的多个国家犯罪信息系统。CJIS系统可供刑事司法界使用，包括执法、监狱、检察官、法院以及缓刑和审前服务。”“联邦调查局和 CISA [网络安全和基础设施安全局] 知道今天早上的事件涉及来自@ic.fbi.gov电子邮件帐户的虚假电子邮件，”联邦调查局声明中写道。“这是一种持续的情况，我们目前无法提供任何其他信息。发现问题后，受影响的硬件迅速脱机。我们继续鼓励公众对未知发件人保持警惕，并敦促您向www.ic3.gov或www.cisa.gov报告可疑活动。”

来自RF黑客论坛的“Pompompurin”在接受外媒KrebsOnSecurity博客采访时表示，这次黑客攻击是为了指出FBI系统中的一个明显漏洞。

“我本可以1000%使用它来发送看起来更合法的电子邮件，欺骗公司交出数据等，”Pompompurin说。“而且由于联邦政府在其网站上的通知，任何负责任地披露的人都不会发现这一点。”

FBI 的执法企业门户(LEEP)

Pompompurin表示，对FBI电子邮件系统的非法访问始于对其执法企业门户(LEEP)的探索，该局将其描述为“为执法机构、情报团体和刑事司法实体提供获取有益资源的门户”。“这些资源将加强调查人员的案件开发，加强机构之间的信息共享，并且可以在一个集中的位置访问！” 

直到昨天早上的某个时候，LEEP门户网站才允许任何人申请帐户。DOJ网站上还提供了在LEEP门户上注册新帐户的分步说明，这很有帮助。[应该注意的是，这些说明中的“第1步”是在 Microsoft的Internet Explorer中访问该站点，这是一种过时的Web浏览器，出于安全原因，即使是Microsoft也不再鼓励人们使用。]

该过程的大部分涉及填写带有申请人及其组织的个人和联系信息的表格。该过程中的一个关键步骤是，申请人将收到来自[email protected]的电子邮件确认，其中包含一次性密码，表面上是为了验证申请人可以在相关域接收电子邮件。

但据Pompompurin称，FBI自己的网站在网页的HTML代码中泄露了该一次性密码。

Pompompurin说，他们能够通过编辑发送到浏览器的请求并更改邮件“主题”字段和“文本内容”字段中的文本，从[email protected]向自己发送电子邮件。

“基本上，当您请求确认代码时，[它]是在客户端生成的，然后通过POST请求发送给您，”Pompompurin说。“此帖子请求包括电子邮件主题和正文内容的参数。”

Pompompurin说，一个简单的脚本用他自己的消息主题和正文替换了这些参数，并自动将恶作剧消息发送到数千个电子邮件地址。

Pompompurin 分享的截图，他说这显示了他如何能够滥用FBI的电子邮件系统发送恶作剧消息。

“不用说，在任何网站上看到这都是一件可怕的事情，”Pompompurin说。“我以前见过几次，但从未在政府网站上看过，更不用说由FBI管理的网站了。”

恶作剧：只为诋毁安全研究人员

现在我们了解到：此次事件是一个恶作剧行为，只为抹黑暗网情报公司NightLion和Shadowbyte的创始人Vinny Troia。

“RF黑客社区的成员与Troia有着长期的不和，他们通常会破坏网站并进行轻微的黑客攻击，并将其归咎于安全研究人员” BleepingComputer的Ionut Illascu写道。

而Troia在接受采访时说：“我最好的猜测是 'pompomorin' 和他的手下 [是这起事件的幕后黑手]。”这一假设得到了以下事实的进一步支持：“pompompurin”在垃圾邮件活动开始前几个小时联系了Troia，简单地说“享受”作为警告，随后涉及研究人员的事情随即发生。

Troia说，每次他们发起攻击以诋毁研究人员时，“pompompurin”都会给他发信息。

11月14日晚上11:31：联邦调查局已发布更新声明：

“联邦调查局了解到软件配置错误，该错误配置暂时允许攻击者利用执法企业门户 (LEEP) 发送虚假电子邮件。LEEP是FBI IT基础设施，用于与我们的州和地方执法合作伙伴进行通信。虽然非法电子邮件源自 FBI 运营的服务器，但该服务器专用于推送 LEEP 通知，而不是FBI公司电子邮件服务的一部分。没有黑客能够访问或破坏FBI网络上的任何数据或PII。得知事件后，我们迅速修复了软件漏洞，警告合作伙伴不要理会虚假电子邮件，并确认我们网络的完整性。”

参考：

https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/

https://www.bleepingcomputer.com/news/security/fbi-system-hacked-to-email-urgent-warning-about-fake-cyberattacks/

https://therecord.media/official-fbi-email-server-hacked-used-to-send-fake-threat/

https://www.fbi.gov/news/pressrel/press-releases/fbi-statement-on-incident-involving-fake-emails

多一个点在看

多一条