El FBI y el CISA informaron este pasado sábado sobre un ciberataque que ha sufrido la agencia de seguridad norteamericana en el cual ha resultado hackeado su sistema de correos electrónicos, desde el que se han enviado 100.000 emails con alertas.
Los envíos falsos se realizaron desde la cuenta de correo electrónico @ic.fbi.gov. El servidor afectado, según el aviso enviado, se desconectó rápidamente al descubrir el problema, aunque en él se pedía precaución a los remitentes desconocidos y se les instaba a informar cualquier actividad sospechosa a ambas agencias
Horas antes, la organización Spamhause Project, que rastrea actividades de spam y malware, advirtió en su cuenta de Twitter sobre esta actividad ilegal.
These emails look like this:
— Spamhaus (@spamhaus) November 13, 2021
Sending IP: 153.31.119.142 (https://t.co/En06mMbR88)
From: eims@ic.fbi.gov
Subject: Urgent: Threat actor in systems pic.twitter.com/NuojpnWNLh
Más allá de esta información inicial, ayer domingo el FBI añadió que se encontraba al tanto de una configuración incorrecta del software que permitió temporalmente a los atacantes aprovechar el LEEP (Law Enforcement Enterprise Portal) para enviar correos electrónicos falsos.
LEEP es la infraestructura de IT del FBI que emplea para comunicarse con sus socios policiales estatales y locales. “Si bien el correo electrónico ilegítimo se originó en un servidor operado por el FBI, ese servidor estaba dedicado a enviar notificaciones al LEEP y no formaba parte del servicio de correo electrónico corporativo del FBI. Ningún actor pudo acceder o comprometer ningún dato en la red del FBI. Una vez que supimos del incidente, pusimos solución inmediata a la vulnerabilidad, advertimos a los socios de que deben ignorar los correos electrónicos falsos y confirmamos la integridad de nuestras redes”, explicaba el comunicado.
Los destinatarios de los emails, según Spamhause Project, fueron los contactos indicados en la base de datos del Registro Norteamericano de Números de Internet (ARIN, por sus siglas en inglés), si bien en un nuevo tuit esta organización
En un mensaje separado, Spamhause indicó que es posible que el alcance del ataque no se haya limitado al ARIN basándose en el aumento de tráfico provocado en el momento del envío de las alertas falsas.
The following chart shows email traffic originating from the FBI mailserver (https://t.co/En06mMbR88 | 153.31.119.142) involved. You can clearly see the two spikes caused by the fake warning last night. Timestamps are in UTC. pic.twitter.com/vPKvzv74gW
— Spamhaus (@spamhaus) November 13, 2021