Posté le novembre 15, 2021 à 7:30
DES HACKERS DÉCOUVRENT UN BUG DANS LE SYSTÈME DE MESSAGERIE DU FBI, MAIS AUCUN MAL N’A ÉTÉ FAIT
Le Federal Bureau of Investigation (FBI) des États-Unis a confirmé avoir annoncé qu’un groupe de hackers inconnu avait infiltré l’un de ses serveurs de messagerie pour envoyer de faux messages concernant une attaque en chaîne sophistiquée.
Selon le FBI, les hackers envoient le faux courriel d’avertissement avec l’objet “Urgent: Threat actor in the system”.
Les e-mails semblaient provenir d’adresses e-mail légitimes du FBI, ce qui pouvait facilement convaincre le destinataire.
Les hackers ont envoyé des milliers de faux messages informant les destinataires qu’ils ont été victimes d’attaques sophistiquées. Le projet Spamhaus, une organisation qui enquête sur les spammeurs, a été le premier à découvrir la campagne de faux e-mails.
Les e-mails affirment faussement que Vinny Troia est responsable de la cyberattaque et que The Dark Overlord est lié au groupe de hackers. Cependant, ces affirmations sont toutes fausses, étant donné que Troia est un célèbre chercheur en cybersécurité qui dirige deux entreprises de sécurité du dark web, Shadowbyte et NightLion.
Les faux e-mails ont été envoyés à plus de 10 000 adresses
Bleeping Computer a déclaré que les hackers ont déjà envoyé de fausses notifications à plus de 10 000 adresses. Les adresses électroniques ont été récupérées dans le registre américain des numéros Internet.
Le rapport révèle également que les hackers ont utilisé le système de messagerie électronique public du FBI.
Selon le chercheur en sécurité Kevin Beaumont, il semble que les e-mails des hackers proviennent des serveurs du FBI puisque les en-têtes sont authentifiés par le processus DKIM du FBI.
Le FBI a mis le matériel concerné hors ligne
En réponse à cet incident, le FBI a annoncé dans un communiqué de presse que l’affaire est toujours en cours et qu’il enquête actuellement sur la situation.
Le FBI a également indiqué que le matériel concerné a été mis hors ligne pour éviter d’autres dommages. Cependant, aucune autre information n’a été partagée au sujet de l’incident.
Tentative de diffamation de Troia
Bleeping Computer a déclaré que l’activité de spamming pourrait avoir été menée délibérément pour porter atteinte à la réputation de Troia. Troia a déclaré, dans un tweet, que le hacker responsable de l’action diffamatoire pourrait être « Pompompurin ». Le hacker a déjà tenté de porter atteinte à la réputation de Troia de la même manière.
Le chercheur en cybersécurité Brian Krebs a également déclaré que les hackers sont probablement responsables de cette action. Il a déclaré que Pompompurin lui a envoyé un e-mail à partir d’une adresse e-mail du FBI lorsque l’attaque a été lancée.
Brian dit que le hacker lui a envoyé un message qui se lit comme suit : « Salut, c’est Pompompurin. Vérifie les en-têtes de cet email, il provient en fait du serveur du FBI ».
Le chercheur a ajouté qu’il a même parlé avec pompompurin qui lui a dit que l’attaque était destinée à exploiter au maximum les failles de sécurité des serveurs du FBI.
L’individu a également dit à Brian qu’il avait exploité une faille de sécurité sur le LEEP (Law Enforcement Enterprise) du FBI et utilisé un mot de passe à usage unique pour ouvrir un compte. Pompompurin affirme qu’après s’être connecté au compte, ils ont pu manipuler le corps de l’e-mail et l’adresse de l’expéditeur, et ont exécuté le message de spam en masse.
Le FBI affirme qu’aucune exploitation n’a été constatée
Bien que l’e-mail légitime provienne d’un serveur exploité par le FBI, il a été spécialement conçu pour envoyer une notification pour le programme LEEP et n’était pas destiné au service de messagerie du FBI, a déclaré le chercheur.
Cependant, malgré la faille, aucun acteur n’a été en mesure de compromettre ou d’accéder à des informations nominatives ou à des données sur le réseau du FBI.
C’est aussi une indication que les hackers sont toujours à la recherche de failles dans les serveurs, y compris ceux des agences de sécurité. La semaine dernière, l’administration de Joe Biden a donné un mandat sur un patch de vulnérabilité sur les serveurs des agences civiles vulnérables. Et en mai, Joe Biden a adopté un décret visant à améliorer les défenses du pays contre les menaces de cybersécurité. Ce décret a été pris après les attaques contre SolarWinds et Colonial Pipeline.
Les serveurs vulnérables auraient pu être utilisés à des fins militaires
Le chercheur en cybersécurité Austin Berglas, anciennement de la branche cybernétique de l’agent du FBI à New York, a également commenté l’incident. Il a déclaré que le niveau d’accès aurait pu conduire à une attaque bien pire que la fausse alerte par e-mail.
Austin a fait remarquer qu’un véritable hacker disposant d’un tel accès à un compte « dot.gov » peut mener à des attaques plus graves. Un tel compte peut être utilisé comme une arme et servir à des activités de piratage très sérieuses. « Le FBI a probablement évité une balle », a ajouté M. Austin.
Selon le Washington Post, les experts en sécurité estiment que, puisque l’e-mail ne contenait aucune pièce jointe malveillante, cela pourrait signifier que les hackers sont tombés par hasard sur les failles et n’avaient pas l’intention de les exploiter.
