Det melder i hvert fall flere nyhetskanaler 100,000 folk mottok spam-e-poster angivelig fra FBI. E-postene hadde signaturer fra U.S. Department of Homeland Securitys gruppe for oppdagelse og analyse av cybertrusler. Interessant nok, fordi FBI stoppet den nevnte organisasjonen for mer enn to år siden. Disse e-postene inneholdt merkelige, teknisk forvirrede meldinger om noen kommende angrep. Av en eller annen grunn refererte de til nettsikkerhetsskribenten Vinny Troia og en nettkriminell gruppe kalt The Dark Overlord. Nevnte selskap publiserte forskning om The Dark Overlord i januar i år.
Noen sendte falske spam FBI-e-poster fra legitime rettshåndhevelsesservere
«FBI er klar over en programvarefeilkonfigurasjon som midlertidig tillot en aktør å utnytte Law Enforcement Enterprise Portal (LEEP) å sende falske e-poster". «Mens den illegitime e-posten stammet fra en FBI-drevet server, den serveren var dedikert til å sende varsler for LEEP og var ikke en del av FBIs bedrifts-e-posttjeneste., går i oppdatering som FBI nasjonale pressekontor publisert i november 14, 2021 .
FBI IT-infrastruktur bruker LEEP til å kommunisere med statlige og lokale rettshåndhevelsespartnere til FBI. Federal Bureau of Investigations la også til i en oppdatering at noen data eller PII på FBIs nettverksspamere ikke kunne få tilgang til eller kompromittere. De fikset raskt programvaresårbarheten, advarte partnere om å avvise de falske e-postene, og bekreftet sammenhengen i nettverk. FBI har vanlig praksis for å advare amerikanske selskaper om cybertrusler som angriper bestemte selskaper eller når trusselaktører bruker nye teknikker.
International Threat Intelligence Organization som gir sanntidsdata om spam, botnett, malware kilde og phishing gjort egen forskning. På Twitter-siden deres delte de den falske e-postspammen som spammere angivelig sendte under forkledning fra FBI. De som mottok spam-e-poster finner seg oppført i American Registry for Internet Numbers. Kontaktene består av offentlig oppførte administratorer av nettsteder, selskapets forsker Alex Grosjean forklarte.
Disse e-postene ser slik ut:
Sender IP: 153.31.119.142 (https://t.co/En06mMbR88)
fra: eims@ic.fbi.gov
Emne: Som haster: Trusselaktør i systemer pic.twitter.com/NuojpnWNLh— spamhaus (@spamhaus) november 13, 2021
Cybersikkerhetsanalytiker bekymrer seg for at trusselaktører faktisk kan finne trikset i senere angrep
Grosjean sørget for at han ikke oppdaget skadelig programvare innebygd i e-postene. I stedet antar han at det bare må ha vært en spøk for å skremme mottakerne. Og det er ikke første gang noen utgir seg for å være fra en eller annen legitim rettshåndhevelse. Som CNN la til i sin rapport om falske FBI-e-poster, i en hendelse i fjor krypterte hackere telefonene til noen mennesker i Øst-Europa. De anklaget dem for å ha ulovlig pornografisk materiale og informerte dem om at deres personlige opplysninger var videresendt til FBI. Hackere ba om $500 for å låse opp telefonene.
Dette kan også bety en ren spøk, cybersikkerhetsspesialister uttrykker bekymring for at slike hendelser lett kan villede organisasjoner til å håndtere falske trusler mens de savner et faktisk angrep. Trusselaktører kan plukke opp opplegget for på denne måten å lage et slags pro-angrepssteg.
