2021年11月13日(土)、ハッカーがFBIの公式メールサーバに侵入したことが判明しました。
今朝、@ic.fbi.govのメールアカウントから偽装メールが送られてきた件について、FBIとCISAは事実を認識しています。これは現在進行中の事態であり、現時点では追加情報を提供することはできません。
影響を受けたハードウェアは、問題の発見後すぐにオフラインにしました。
引き続き、未知の送信者に注意を払い、不審な活動をic3.govまたはcisa.govに報告するよう、一般の方々に呼びかけています。
このハッキングされたサーバを利用して、何者かが組織のデータを盗もうとしていることを警告するスパムメールを送信しました。
正体不明のハッカー集団が、FBIの電子メールサーバーの1つを侵害し、発生したとされる(偽の)サイバー攻撃についての警告を含むスパムメールを大量に送信していたことがわかりました。
FBIが利用している公共チケットや警告システムに使用していた電子メールサーバーに影響があったとされています。
FBIのオフィスには、心配した組織からの電話や電子メールが殺到し、想定される攻撃に関する追加情報を求めていたという。
このメールは明らかに偽の脅威を警告するものでしたが、SPFとDKIMのセキュリティチェックに合格していたため、一部の受信者の間でパニックを引き起こしました。これは、実際のFBIサーバーから送信されたことを意味し、すべてのスパムフィルターを通過していました。
ただFBIのような組織がセキュリティ・アラートの本文で絶対にしないようなスペルミスが多数あった上に、メッセージはNightLion Securityの創設者であるVinny Troiaを「高度な連鎖攻撃」の犯人に仕立て上げようとするものでした。
ハッカーたちは、FBIがトロイアがネットワークからデータを盗もうとしているのを発見したと、組織を騙そうとしていたようです。
ニセメッセージは以下の通り
当社のインテリジェンスモニタリングによると、高度なチェーン攻撃により、複数の仮想化クラスタが流出していることが判明しました。我々は、この高度な持続的脅威行為者が使用するトランジットノードをブラックホール化しようとしましたが、彼が複数のグローバルアクセラレータを介してプロキシするファストフラックス技術を用いて攻撃を修正する可能性が非常に高いと考えています。
攻撃者は、恐喝組織TheDarkOverlordと関係があると考えられる[REDACTED]であることが判明しました。この脅威グループは現在、NCCICの査察を受けながら活動しています。我々は情報調査に依存しているため、4時間以内に物理的な干渉を行うことはできませんが、これはお客様のインフラに深刻なダメージを与えるのに十分な時間となるでしょう。
FBIがハッキングを確認、サーバーを停止
FBIは、この事件を認識して調査を行っており、スパムを止めるために侵害されたサーバーを停止したと述べました。
このメールサーバーはある種の自動メール送信システムに使われていたようなので、ハッカーがサーバー上で動作するソフトウェアの何らかの脆弱性を利用してこれらのメッセージを送信したのではないかと語っていますが、これは現在入手可能な情報に基づいた単なる仮説に過ぎません。
今回の攻撃の規模について、攻撃者はスパムメールの送信に一般の電子メールアドレスのデータベースを利用したようだという。
可能性のあるソースとしては、北米全域のウェブドメインの登録に使用された電子メールを保持するARIN(American Registry for Internet Numbers)データベースが考えられます。このデータベースは、あらゆる脅威グループが容易にスクレイピングしてコンパイルすることができますが、他のソースも使用された形跡があります。
Comments