Os serviços de segurança são muitas vezes as principais vítimas de ataques e de tentativas de sabotagem. A mais recente vítima parece ser o FBI, que teve os seus servidores de email comprometidos.
Esta sabotagem foi usada para enviar mensagens sobre um falso ataque, procurando denegrir um investigador de segurança.
Ataque aos servidores do FBI visavam a reputação de Troia
Apesar de parecer pouco real, os servidores do FBI foram mesmo comprometidos para enviar mensagens de spam. Os mails enviados continham informações falsas e pretendiam alertar para uma situação em que os destinatários estavam comprometidos.
Este ataque tinha como objetivo revelar um ataque em cadeia, oriundo de um único ator. Pretendiam comprometer a imagem do investigador de segurança Vinny Troia. Troia é o responsável das empresas de investigação de segurança da dark web NightLion e Shadowbytee.
Quem alertou para esta situação foi a conhecida SpamHaus, que detetou esta situação assim que a mesma foi iniciada. Ao todo, e do que revelou, foram enviados emails para 100 mil endereços, obtidos na ARIN (American Registry for Internet Numbers). Estas mensagens foram enviadas em 2 lotes, separados por 2 horas entre si.
A análise das mensagens que foram enviadas comprovaram que tinham tido origem de um endereço de email real do FBI (eims@ic.fbi.gov). Também o servidor de origem destas mensagens foi comprovado e a sua origem era também da agência (153.31.119.142 – mx-east-ic.fbi.gov).
These fake warning emails are apparently being sent to addresses scraped from ARIN database. They are causing a lot of disruption because the headers are real, they really are coming from FBI infrastructure. They have no name or contact information in the .sig. Please beware!
— Spamhaus (@spamhaus) November 13, 2021
O FBI já confirmou que o conteúdo dos e-mails é falso e que a agência está a trabalhar para resolver o problema. O suporte da agência está a ser inundado com pedidos de informações, vindos de administradores preocupados com o conteúdo da mensagem e o seu impacto.
Não se saber ao certo quem está por trás deste ataque e das mensagens enviadas. Fica claro que pretendiam apenas desacreditar Vinny Troia. Eta não é a primeira vez que este investigador de segurança é alvo de medidas destas, vindo de grupos de atacantes da dark web.