FBI Mengatakan Sistemnya Dieksploitasi untuk Mengirim Peringatan Serangan Siber Palsu

Posted on by Syauqi Wiryahasana

FBI mengakui pada Senin pagi bahwa seorang penyerang mengeksploitasi cacat dalam cara sistem pesan agensi dikonfigurasi: sebuah cacat yang memungkinkan pihak yang tidak dikenal mengirimkan banjir peringatan "mendesak" palsu tentang serangan siber palsu.

The Spamhaus Project, sebuah organisasi nirlaba Eropa yang memonitor spam email, mendeteksi eksploitasi dan men-tweet tentang hal itu Sabtu pagi, mengatakan bahwa “Kami telah diberitahu tentang email 'menakutkan' yang dikirim dalam beberapa jam terakhir yang mengaku berasal dari FBI/DHS. Meskipun email memang dikirim dari infrastruktur yang dimiliki oleh FBI/DHS (portal LEEP), penelitian kami menunjukkan bahwa email ini adalah palsu.”
Kami telah diberitahu tentang email "menakutkan" yang dikirim dalam beberapa tahun terakhir. jam yang mengaku berasal dari FBI/DHS. Meskipun email memang dikirim dari infrastruktur yang dimiliki oleh FBI/DHS (portal LEEP), penelitian kami menunjukkan bahwa email ini adalah palsu.

— Spamhaus (@spamhaus) 13 November 2021



Terlambat pada Jumat malam, Infrastruktur FBI/DHS – khususnya, Portal Perusahaan Penegakan Hukum (LEEP) – telah mulai mengeluarkan peringatan tentang serangan siber palsu, dikirim dari alamat FBI yang sebenarnya eims@ic.fbi.gov.
Daftar sekarang untuk acara LIVE kami!

Sekitar itu saat itu, alamat email yang sama menghubungi jurnalis keamanan Brian Krebs dengan pesan ini:

“Hai pompompurin. Periksa tajuk email ini yang sebenarnya berasal dari server FBI. Saya menghubungi Anda hari ini karena kami menemukan botnet yang dihosting di dahi Anda, harap segera ambil tindakan, terima kasih.”

Pompompurin tidak berbohong. Analisis header pesan email menunjukkan bahwa sistem email FBI memang mengirimnya, dan dari alamat internet agen itu sendiri. Domain pengirim email — eims[@]ic.fbi[.]gov — adalah milik divisi Layanan Informasi Peradilan Kriminal FBI (CJIS), Krebs menegaskan.

Spamhaus mengatakan bahwa email peringatan palsu dikirim ke alamat yang diambil dari Amerika Utara Database Registry for Internet Numbers (ARIN), dan mengingat bahwa tajuknya asli, mereka menyebabkan “banyak gangguan.”

Ada dua semburan surat, kata Spamhaus, dengan total sekitar 100.000 pesan pemicu adrenalin yang keluar.
Bagan berikut menunjukkan lalu lintas email yang berasal dari server surat FBI (https://t.co/En06mMbR88 | 153.31.119.142) yang terlibat. Anda dapat dengan jelas melihat dua paku yang disebabkan oleh peringatan palsu tadi malam. Stempel waktu dalam UTC. pic.twitter.com/vPKvzv74gW

— Spamhaus (@spamhaus) 13 November 2021



Tanpa nama atau informasi kontak di tanda tangan, Spamhaus mendesak penerima untuk “Harap berhati-hati!”

FBI Mengatakan Penyerang Tidak Mendapatkan Data atau PII

“FBI adalah menyadari kesalahan konfigurasi perangkat lunak yang sementara memungkinkan seorang aktor untuk memanfaatkan Portal Perusahaan Penegakan Hukum (LEEP) untuk mengirim email palsu,” kata pernyataan FBI. Biro tersebut menggambarkan LEEP sebagai “gerbang yang menyediakan badan penegak hukum, kelompok intelijen, dan entitas peradilan pidana akses ke sumber daya yang bermanfaat.” mendorong pemberitahuan untuk LEEP dan bukan bagian dari layanan email perusahaan FBI.”

Penyerang tidak dapat mengakses atau mengkompromikan data apa pun atau informasi pengenal pribadi (PII) di jaringan FBI, menurut pernyataannya. “Begitu kami mengetahui insiden tersebut, kami dengan cepat memperbaiki kerentanan perangkat lunak, memperingatkan mitra untuk mengabaikan email palsu, dan mengkonfirmasi integritas jaringan kami,” katanya.

Peringatan Bogus Peringatan Tentang APT

PalsuMenurut deskripsi akun Twitter pengirim (dan untuk klaim mereka bahwa serangan itu dilakukan untuk menunjukkan lubang keamanan yang menganga), pompompurin tidak membantu siapa pun: "AKU BUKAN WHITEHAT, jangan ikuti saya jika Anda mengharapkan tweet semacam itu." referensi, dalam percakapan mereka dengan Krebs, bahwa dahi dapat menjadi tuan rumah botnet sama masuk akalnya dengan peringatan palsu itu sendiri. Peringatan itu adalah serangkaian omong kosong teknis yang menyebut penulis keamanan siber Vinny Troia serta kelompok penjahat dunia maya bernama The Dark Overlord (salah satu perusahaan Troia, Night Lion Security, menerbitkan penelitian pada bulan Januari). Grup Deteksi dan Analisis Ancaman Cyber ​​Homeland Security, yang, seperti dilaporkan NBC, tidak ada setidaknya selama dua tahun.
Peringatan palsu dari FBI/DHS. Sumber: Spamhaus.

Apa Intinya?

Peringatan palsu tidak memiliki ajakan untuk bertindak, membuat tujuan pemalsuan tidak jelas. Spamhaus menyarankan – dan ini hanya tebakan – bahwa itu adalah “kombinasi ketakutan-ketakutan (membuat orang menutup sesuatu atau membuat perubahan dengan tergesa-gesa), dan pembunuhan karakter terhadap orang yang disebutkan di dalamnya, DAN cara untuk membuat FBI berebut.”

Tindakan tiga kali: Meyakinkan orang untuk menutup semuanya untuk berjaga-jaga, sementara kebenaran ditentukan, pembunuhan karakter Vinny Troia yang disebutkan di dalamnya, dan membanjiri FBI dengan panggilan. Atau, seperti yang orang lain katakan, "untuk lulz". Mungkin semua di atas. Mungkin sesuatu yang lain! –Spamhaus

111612 17:38 UPDATE: Troia berkata, dia tidak tahu siapa di balik serangan itu. Dia memiliki ide yang sangat bagus tentang siapa yang berada di baliknya, setelah mengidentifikasi seorang tersangka pelaku kejahatan dunia maya yang, katanya dalam sebuah posting hari Selasa, telah menyiksanya untuk sementara waktu. adalah untuk mengekspos lubang menganga dalam pengaturan keamanan agensi.

Krebs mengutip pertukaran email mereka: “Saya bisa 1000% menggunakan ini untuk mengirim lebih banyak email yang tampak sah, menipu perusahaan agar menyerahkan data, dll. Dan ini tidak akan pernah ditemukan oleh siapa saja yang akan mengungkapkannya secara bertanggung jawab, karena pemberitahuan yang diberikan FBI di situs web mereka.”

Lubang Menganga, Konon Dijelaskan

Penyerang yang mengaku, pompompurin, menjelaskan kepada Krebs bahwa kesalahan konfigurasi sistem FBI berkaitan dengan bagaimana LEEP mengizinkan siapa pun untuk mengajukan permohonan Akun. Seperti yang dicatat Krebs, instruksi untuk melakukannya termasuk mengunjungi portal pada browser yang sudah ketinggalan zaman: yaitu, Microsoft Internet Explorer, browser yang Microsoft sendiri, mengingat masalah keamanan perangkat lunak, lebih suka mendorong bunga aster daripada digunakan pada situs web pemerintah.

Bagian dari proses ini mencakup pelamar yang menerima konfirmasi email dari eims[@]ic.fbi[.]gov dengan kode sandi satu kali: kata sandi satu kali yang dibocorkan oleh situs web FBI sendiri dalam kode HTML halaman, pompompurin mengatakan kepada jurnalis.

Krebs mengutip penyerang yang memproklamirkan diri: "Pada dasarnya, ketika Anda meminta kode konfirmasi [itu] dibuat dari sisi klien, kemudian dikirim kepada Anda melalui Permintaan POST," kata pompompurin. “Permintaan posting ini mencakup parameter untuk subjek email dan isi isi.”

The I'm-not-a-white-hat mengatakan kepada wartawan bahwa ia menggunakan skrip sederhana untuk mengganti parameter dengan subjek dan isi pesannya sendiri, dan mengotomatiskan pengiriman pesan tipuan ke ribuan alamat email.

A Serangan Bising yang Bisa Menimbulkan Luka Nyata

Tim Erlin, wakil presiden strategi di Tripwire, menyesalkan fakta bahwa semua yang diperlukan penyerang untuk dapat mengirimkan sejumlah email palsu dari alamat email yang sah adalah "modifikasi sederhana lalu lintas antara pengguna dan aplikasi web ini." "Serangan bisa saja melakukan "kerusakan yang jauh lebih besar," kata Erlin. “Insiden ini menyoroti pentingnya program pengembangan perangkat lunak yang aman, pengujian aplikasi web, dan manajemen konfigurasi keamanan. Serangan ini bisa saja dihentikan di beberapa titik dalam siklus hidupnya.”

111521 11:36 UPDATE: Masukan tambahan dari Tim Erlin.

Image milik Shinsuke Ikegame, Daily Photos in Vancouver.

Keamanan siber untuk lingkungan multi-cloud sangat menantang. OSquery dan CloudQuery adalah jawaban yang solid. Bergabunglah dengan Uptycs dan Threatpost pada Selasa, 16 November pukul 2 siang. ET untuk “Pengantar OSquery dan CloudQuery,” percakapan interaktif LIVE dengan Eric Kaiser, insinyur keamanan senior Uptycs, tentang bagaimana alat sumber terbuka ini dapat membantu menjinakkan keamanan di seluruh kampus organisasi Anda.

Daftar SEKARANG untuk acara LIVE dan kirimkan pertanyaan Anda sebelumnya melalui halaman pendaftaran.
Tulis komentar
Bagikan artikel ini:
  • Governmentliu < ul>iHacksliu < ul>iMalwareliu
      iWeb Security

    • TENTANG EMKA.WEB>ID

    EMKA.WEB.ID adalah blog seputar teknologi informasi, edukasi dan ke-NU-an yang hadir sejak tahun 2011. Kontak: kontak@emka.web.id.

    ©2024 emka.web.id Proudly powered by wpStatically