FBI sagt, dass sein System ausgenutzt wurde, um eine gefälschte Cyberangriffswarnung zu versenden

  • Die Warnung war ein Hokuspokus, aber sie wurde tatsächlich vom E-Mail-System des FBI
    E-Mail-System der Behörde verschickt, und zwar von der eigenen Internetadresse der Behörde.

    Das FBI hat am Montagmorgen zugegeben, dass ein Angreifer eine Schwachstelle in der Konfiguration des Nachrichtensystems der Behörde ausgenutzt hat: eine Schwachstelle, die es einem Unbekannten ermöglichte, eine Flut von gefälschten “dringenden” Warnungen über gefälschte Cyberangriffe zu verschicken.

    Das Spamhaus Project, eine europäische Non-Profit-Organisation, die E-Mail-Spam überwacht, entdeckte die Schwachstelle und twitterte am frühen Samstagmorgen darüber: “Wir wurden in den letzten Stunden auf ‘beängstigende’ E-Mails aufmerksam gemacht, die angeblich vom FBI/DHS stammen. Die E-Mails werden zwar tatsächlich von einer Infrastruktur verschickt, die dem FBI/DHS gehört (dem LEEP-Portal), aber unsere Nachforschungen haben ergeben, dass diese E-Mails *gefälscht* sind.”

    Wir wurden in den letzten Stunden auf “beängstigende” E-Mails aufmerksam gemacht, die vorgeben, vom FBI/DHS zu stammen. Die E-Mails werden zwar tatsächlich von einer Infrastruktur verschickt, die dem FBI/DHS gehört (dem LEEP-Portal), aber unsere Recherchen haben ergeben, dass diese E-Mails *gefälscht* sind.

    – Spamhaus (@spamhaus) November 13, 2021

    Am späten Freitagabend hatte die Infrastruktur des FBI/DHS – insbesondere das Law Enforcement Enterprise Portal (LEEP) – damit begonnen, Warnungen über gefälschte Cyberangriffe zu verschicken, die von der sehr realen FBI-Adresse eims@ic.fbi.gov gesendet wurden.

    Registrieren Sie sich jetzt für unsere LIVE-Veranstaltung!

    Etwa zur gleichen Zeit meldete sich dieselbe E-Mail-Adresse beim Sicherheitsjournalisten Brian Krebs mit dieser Nachricht:

    “Hallo, hier ist Pompompurin. Überprüfen Sie die Kopfzeilen dieser E-Mail, sie kommt tatsächlich von einem FBI-Server. Ich kontaktiere Sie heute, weil wir ein Botnetz gefunden haben, das auf Ihrer Stirn gehostet wird, bitte ergreifen Sie sofortige Maßnahmen, danke.”

    Pompompurin hat nicht gelogen. Eine Analyse der Kopfzeilen der E-Mail zeigte, dass sie tatsächlich vom E-Mail-System des FBI versandt wurde, und zwar von der Internetadresse der Behörde selbst. Die Domäne des E-Mail-Absenders – eims[@]ic.fbi[.]gov – ist die der Abteilung Criminal Justice Information Services (CJIS) des FBI, bestätigte Krebs.

    Laut Spamhaus wurden die gefälschten Warn-E-Mails an Adressen gesendet, die aus der nordamerikanischen ARIN-Datenbank (North American Registry for Internet Numbers) entnommen wurden, und da die Kopfzeilen echt waren, verursachten sie “eine Menge Störungen”.

    Laut Spamhaus gab es zwei E-Mail-Wellen mit insgesamt etwa 100.000 adrenalingeladenen Nachrichten, die verschickt wurden.

    Das folgende Diagramm zeigt den E-Mail-Verkehr, der von dem betroffenen FBI-Mailserver (https://t.co/En06mMbR88 | 153.31.119.142) stammt. Man kann deutlich die beiden Spitzen erkennen, die durch die gefälschte Warnung gestern Abend verursacht wurden. Die Zeitstempel sind in UTC. pic.twitter.com/vPKvzv74gW

    – Spamhaus (@spamhaus) November 13, 2021

    Ohne Namen oder Kontaktinformationen in der Signatur forderte Spamhaus die Empfänger auf: “Bitte seien Sie vorsichtig!”

    FBI sagt, dass der Angreifer nicht an Daten oder PII gelangt ist

    “Das FBI ist sich einer Software-Fehlkonfiguration bewusst, die es einem Akteur vorübergehend ermöglichte, das Law Enforcement Enterprise Portal (LEEP) zu nutzen, um gefälschte E-Mails zu versenden”, heißt es in der Erklärung des FBI. Das FBI beschreibt LEEP als “ein Gateway, das Strafverfolgungsbehörden, Geheimdienstgruppen und Strafjustizbehörden Zugang zu nützlichen Ressourcen bietet”.

    In der Erklärung des FBI heißt es weiter: “Die gefälschten E-Mails stammten zwar von einem vom FBI betriebenen Server, aber dieser Server diente dem Versand von Benachrichtigungen für LEEP und war nicht Teil des unternehmenseigenen E-Mail-Dienstes des FBI.”

    Der Angreifer war nicht in der Lage, auf Daten oder personenbezogene Informationen im Netzwerk des FBI zuzugreifen oder diese zu kompromittieren, heißt es in der Erklärung. “Als wir von dem Vorfall erfuhren, haben wir die Software-Schwachstelle schnell behoben, unsere Partner gewarnt, die gefälschten E-Mails zu ignorieren, und die Integrität unserer Netzwerke bestätigt”, hieß es.

    Gefälschte Warnung vor gefälschter APT

    Laut der Beschreibung des Twitter-Kontos des Absenders (und im Widerspruch zu seiner Behauptung, der Angriff sei erfolgt, um auf eine klaffende Sicherheitslücke hinzuweisen), ist pompompurin nicht darauf aus, irgendjemandem zu helfen: “I AM NOT A WHITEHAT, folge mir nicht, wenn du solche Tweets erwartest”.

    Der Hinweis des angeblichen Angreifers in seinem Gespräch mit Krebs, dass die Stirn Botnetze beherbergen kann, macht ungefähr so viel Sinn wie die gefälschte Warnung selbst. Bei der Warnung handelte es sich um eine Aneinanderreihung von technischem Kauderwelsch, in dem der Cybersecurity-Autor Vinny Troia sowie eine cyberkriminelle Gruppe namens The Dark Overlord genannt wurden (eine Gruppe, über die Troias Unternehmen Night Lion Security im Januar Untersuchungen veröffentlicht hat).

    Der Angreifer gab sich als die Cyber Threat Detection and Analysis Group des US-Heimatschutzministeriums aus, die es laut NBC seit mindestens zwei Jahren nicht mehr gibt.

    [Blocked Image: https://alltechnews.de/daten/2021/11/FBI-sagt-dass-sein-System-ausgenutzt-wurde-um-eine-gefaelschte.jpg]

    Gefälschte Warnung des FBI/DHS. Quelle: Spamhaus.

    Was ist der Sinn der Sache?

    Die gefälschte Warnung enthielt keine Aufforderung zum Handeln, so dass das Ziel der Fälschung unklar war. Spamhaus vermutet – und das ist nur eine Vermutung -, dass es sich um “eine Kombination aus Panikmache (um die Leute dazu zu bringen, Dinge abzuschalten oder schnell Änderungen vorzunehmen) und einem Rufmord gegen den darin genannten Mann UND eine Möglichkeit, das FBI auf Trab zu bringen” handelt.

    Dreifache Aktion: Überzeugen Sie die Leute, die Dinge vorsichtshalber abzuschalten, während der Wahrheitsgehalt ermittelt wird, Rufmord an Vinny Troia, der darin erwähnt wurde, und Überflutung des FBI mit Anrufen. Oder, wie jemand anderes sagte, “zum Spaß”. Vielleicht alles davon. Vielleicht auch etwas anderes! -Spamhaus

    Troia sagte seinerseits, dass er keine Ahnung hat, wer hinter dem Angriff steckt.

    Aber nach dem, was der mutmaßliche Angreifer – pompompurin – Krebs erzählt hat, ging es darum, eine klaffende Lücke in der Sicherheitseinrichtung der Agentur aufzudecken.

    Krebs zitiert den E-Mail-Austausch der beiden: “Ich hätte dies zu 1000% dazu nutzen können, um legitim aussehende E-Mails zu versenden, Unternehmen zur Herausgabe von Daten zu verleiten usw. Und dies wäre nie von jemandem gefunden worden, der es verantwortungsbewusst offenlegen würde, da die Bundesbehörden auf ihrer Website einen entsprechenden Hinweis haben.”

    Das klaffende Loch, angeblich erklärt

    Der angebliche Angreifer, pompompurin, erklärte Krebs, dass die Fehlkonfiguration des FBI-Systems mit der Art und Weise zusammenhängt, wie LEEP jedem erlaubt, ein Konto zu beantragen. Wie Krebs feststellte, beinhaltete die Anleitung, das Portal mit einem veralteten Browser aufzurufen, nämlich dem Internet Explorer von Microsoft, einem Browser, den Microsoft selbst angesichts der Sicherheitsprobleme der Software lieber in der Versenkung verschwinden sehen würde, als ihn auf einer Regierungswebsite zu verwenden.

    Ein Teil des Prozesses besteht darin, dass die Bewerber eine E-Mail-Bestätigung von eims erhalten[@]ic.fbi[.]gov mit einem Einmal-Passwort: ein Einmal-Passwort, das das FBI selbst im HTML-Code der Seite veröffentlicht hat, sagte Pompompurin dem Journalisten.

    Krebs zitiert den selbsternannten Angreifer: “Im Grunde genommen, als Sie den Bestätigungscode angefordert haben [it] client-seitig generiert und dann über eine POST-Anfrage an Sie gesendet”, so pompompurin. “Diese POST-Anfrage enthält die Parameter für den Betreff und den Inhalt der E-Mail.”

    Der “I’m-not-a-white-hat” erklärte dem Journalisten, dass er ein einfaches Skript verwendet habe, um die Parameter durch seinen eigenen Betreff und Text zu ersetzen, und dass er den Versand der gefälschten Nachricht an Tausende von E-Mail-Adressen automatisiert habe.

    Bild mit freundlicher Genehmigung von Shinsuke Ikegame, Daily Photos in Vancouver.

    Cybersecurity für Multi-Cloud-Umgebungen ist bekanntermaßen eine Herausforderung. OSquery und CloudQuery sind eine solide Antwort. Besuchen Sie Uptycs und Threatpost am Dienstag, den 16. November um 14:00 Uhr ET für “An Intro to OSquery and CloudQuery”, ein interaktives LIVE-Gespräch mit Eric Kaiser, Senior Security Engineer bei Uptycs, darüber, wie dieses Open-Source-Tool helfen kann, die Sicherheit auf dem gesamten Campus Ihres Unternehmens zu gewährleisten.

    Registrieren Sie sich JETZT für die LIVE-Veranstaltung und stellen Sie Ihre Fragen im Voraus über die Registrierungsseite.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com