Una falla en el sitio web del FBI permitió a los piratas informáticos usar la dirección de correo electrónico legítima del FBI.
Por Emma Roth
Ilustración de Alex Castro / The Verge
Los piratas informáticos atacaron los servidores de correo electrónico de la Oficina Federal de Investigaciones (FBI), enviando miles de mensajes falsos que dicen que sus destinatarios se han convertido en víctimas de un “sofisticado ataque en cadena”, informado por primera vez por Bleeping Computer. Los correos electrónicos fueron descubiertos inicialmente por The Spamhaus Project, una organización sin fines de lucro que investiga a los spammers.
Los correos electrónicos afirman que Vinny Troia estaba detrás de los ataques falsos y también afirman falsamente que Troia está asociada con el infame grupo de piratería, The Dark Overlord, los mismos malos actores que filtraron la quinta temporada de Orange Is the New Black. En realidad, Troia es un destacado investigador de ciberseguridad que dirige dos empresas de seguridad de la web oscura, NightLion y Shadowbyte.
Spamhaus
@spamhaus
These fake warning emails are apparently being sent to addresses scraped from ARIN database. They are causing a lot of disruption because the headers are real, they really are coming from FBI infrastructure. They have no name or contact information in the .sig. Please beware!
Estos correos electrónicos de advertencia falsos aparentemente se envían a direcciones extraídas de la base de datos ARIN. Están causando mucha interrupción porque los encabezados son reales, realmente provienen de la infraestructura del FBI. No tienen nombre ni información de contacto en el .sig. ¡Cuidado!
Como señaló Bleeping Computer, los piratas informáticos lograron enviar correos electrónicos a más de 100,000 direcciones, todas las cuales fueron extraídas de la base de datos del Registro Americano de Números de Internet (ARIN). Un informe de Bloomberg dice que los piratas informáticos utilizaron el sistema de correo electrónico público del FBI, lo que hace que los correos electrónicos parezcan aún más legítimos. El investigador de ciberseguridad Kevin Beaumont también da fe de la apariencia legítima del correo electrónico, afirmando que los encabezados están autenticados como provenientes de servidores del FBI mediante el proceso de correo identificado con claves de dominio (DKIM) que es parte del sistema que usa Gmail para pegar logotipos de marca en correos electrónicos corporativos verificados.
El FBI respondió al incidente en un comunicado de prensa, señalando que es una “situación en curso” y que “el hardware afectado se desconectó”. Aparte de eso, el FBI dice que no tiene más información que pueda compartir en este momento.
Según Bleeping Computer , la campaña de spam probablemente se llevó a cabo como un intento de difamar a Troia. En un tweet, Troia especula que un individuo que se hace llamar “Pompompurin” puede haber lanzado el ataque. Como señala Bleeping Computer , esa misma persona supuestamente intentó dañar la reputación de Troia de manera similar en el pasado.
Un informe del periodista de seguridad informática Brian Krebs también conecta a Pompompurin con el incidente: el individuo supuestamente le envió un mensaje desde una dirección de correo electrónico del FBI cuando se lanzaron los ataques, diciendo: “Hola, pompompurin. Verifique los encabezados de este correo electrónico que en realidad proviene del servidor del FBI”. KrebsOnSecurity incluso tuvo la oportunidad de hablar con Pompompurin, quien afirma que el hack tenía la intención de resaltar las vulnerabilidades de seguridad dentro de los sistemas de correo electrónico del FBI.
“Podría haber usado esto al 1000 por ciento para enviar correos electrónicos de apariencia más legítima, engañar a las empresas para que entreguen datos, etc.”, dijo Pompompurin en un comunicado a KrebsOnSecurity. El individuo también le dijo al medio que explotó una brecha de seguridad en el portal Law Enforcement Enterprise (LEEP) del FBI y logró registrarse para obtener una cuenta utilizando una contraseña de un solo uso incrustada en el HTML de la página. A partir de ahí, Pompompurin afirma que pudieron manipular la dirección del remitente y el cuerpo del correo electrónico, ejecutando la campaña masiva de spam.
Con ese tipo de acceso, el ataque podría haber sido mucho peor que una falsa alerta que puso a los administradores del sistema en alerta máxima. A principios de este mes, el presidente Joe Biden ordenó una corrección de errores que requiere que las agencias federales civiles parcheen cualquier amenaza conocida. En mayo, Biden firmó una orden ejecutiva que tiene como objetivo mejorar las defensas cibernéticas de la nación a raíz de los ataques perjudiciales contra Colonial Pipeline y SolarWinds.