[ad_1]

le Bureau fédéral d’enquête (FBI) a confirmé aujourd’hui que son nom de domaine et son adresse Internet fbi.gov ont été utilisés pour diffuser des milliers de faux e-mails concernant une enquête sur la cybercriminalité. Selon un entretien avec la personne qui a revendiqué la responsabilité du canular, les messages de spam ont été envoyés en abusant d’un code non sécurisé dans un portail en ligne du FBI conçu pour partager des informations avec les autorités nationales et locales chargées de l’application des lois.

Le faux message envoyé tard jeudi soir via le système de messagerie du FBI. Image : Spamhaus.org

Tard dans la soirée du 12 novembre HE, des dizaines de milliers d’e-mails a commencé à inonder de l’adresse du FBI [email protected], avertissant des fausses cyberattaques. À cette époque, BreachTrace a reçu un message de la même adresse e-mail.

« Salut c’est pompompurine», lit-on dans la missive. « Vérifiez les en-têtes de cet e-mail, il provient en fait du serveur du FBI. Je vous contacte aujourd’hui car nous avons localisé un botnet hébergé sur votre front, veuillez prendre des mesures immédiates, merci.

Une revue de les en-têtes de message de l’e-mail a indiqué qu’il avait bien été envoyé par le FBI, et à partir de la propre adresse Internet de l’agence. Le domaine dans la partie « de : » de l’e-mail que j’ai reçu – [email protected] – correspond au FBI. Services d’information sur la justice pénale division (CJIS).

Selon le département de la Justice, « Le CJIS gère et exploite plusieurs systèmes nationaux d’information sur la criminalité utilisés par la communauté de la sécurité publique à des fins criminelles et civiles. Les systèmes CJIS sont à la disposition de la communauté de la justice pénale, y compris les forces de l’ordre, les prisons, les procureurs, les tribunaux, ainsi que les services de probation et de mise en état.

En réponse à une demande de commentaire, le FBI a confirmé les messages non autorisés, mais a refusé de fournir de plus amples informations.

« Le FBI et la CISA [the Cybersecurity and Infrastructure Security Agency] sont au courant de l’incident de ce matin impliquant de faux e-mails provenant d’un compte de messagerie @ic.fbi.gov », indique le communiqué du FBI. « Il s’agit d’une situation en cours et nous ne sommes pas en mesure de fournir d’informations supplémentaires pour le moment. Le matériel concerné a été rapidement mis hors ligne dès la découverte du problème. Nous continuons d’encourager le public à se méfier des expéditeurs inconnus et vous invitons à signaler toute activité suspecte à www.ic3.gov ou www.cisa.gov.

Dans une interview avec BreachTrace, Pompompurin a déclaré que le piratage avait été fait pour signaler une vulnérabilité flagrante dans le système du FBI.

« J’aurais pu l’utiliser à 1000% pour envoyer des e-mails plus légitimes, inciter les entreprises à transmettre des données, etc. », a déclaré Pompompurin. « Et cela n’aurait jamais été trouvé par quiconque divulguerait de manière responsable, en raison de l’avis que les autorités ont sur leur site Web. »

Pompompurin dit que l’accès illicite au système de messagerie du FBI a commencé par une exploration de son Portail d’entreprise pour l’application de la loi (LEEP), que le bureau décrit comme « une passerelle permettant aux forces de l’ordre, aux groupes de renseignement et aux entités de justice pénale d’accéder à des ressources bénéfiques ».

Le portail d’entreprise pour l’application de la loi du FBI (LEEP).

« Ces ressources renforceront le développement de cas pour les enquêteurs, amélioreront le partage d’informations entre les agences et seront accessibles dans un emplacement centralisé ! », s’enthousiasme le site du FBI.

Jusqu’à ce matin, le portail LEEP permettait à quiconque de demander un compte. Utile, des instructions étape par étape pour enregistrer un nouveau compte sur le portail LEEP également sont disponibles sur le site Web du DOJ. [It should be noted that “Step 1” in those instructions is to visit the site in Microsoft’s Internet Explorer, an outdated web browser that even Microsoft no longer encourages people to use for security reasons.]

Une grande partie de ce processus consiste à remplir des formulaires avec les informations personnelles et de contact du demandeur, ainsi que celles de son organisation. Une étape critique de ce processus indique que les candidats recevront une confirmation par e-mail de [email protected] avec un code d’accès à usage unique – apparemment pour valider que le candidat peut recevoir des e-mails sur le domaine en question.

Mais selon Pompompurin, le propre site Web du FBI a divulgué ce code d’accès unique dans le code HTML de la page Web.

Une capture d’écran partagée par Pompompurin.

Pompompurin a déclaré avoir pu s’envoyer un e-mail depuis [email protected] en modifiant la demande envoyée à son navigateur et en modifiant le texte dans les champs « Objet » et « Contenu du texte » du message.

Un e-mail de test utilisant le système de communication du FBI que Pompompurin a déclaré avoir envoyé à une adresse jetable.

« En gros, lorsque vous avez demandé le code de confirmation [it] a été généré côté client, puis vous a été envoyé via une requête POST », a déclaré Pompompurin. « Cette demande de publication inclut les paramètres de l’objet de l’e-mail et du contenu du corps. »

Pompompurin a déclaré qu’un simple script a remplacé ces paramètres par son propre objet et corps de message, et a automatisé l’envoi du message canular à des milliers d’adresses e-mail.

Une capture d’écran partagée par Pompompurin, qui dit qu’elle montre comment il a pu abuser du système de messagerie du FBI pour envoyer un canular.

« Inutile de dire que c’est une chose horrible à voir sur n’importe quel site Web », a déclaré Pompompurin. « Je l’ai déjà vu plusieurs fois auparavant, mais jamais sur un site Web gouvernemental, encore moins sur un site géré par le FBI. »

Comme nous pouvons le voir sur la première capture d’écran en haut de cette histoire, le canular de Pompompurin est une tentative de salir le nom de Vinny Troïale fondateur des sociétés de renseignement sur le dark web NuitLion et Shadowbyte.

« Les membres de la communauté de piratage RaidForums ont une querelle de longue date avec Troia, et dégradent généralement les sites Web et effectuent des piratages mineurs où ils blâment le chercheur en sécurité », Ionut Illascu a écrit pour BipOrdinateur. “Tweetant à propos de cette campagne de spam, Vinny Troia laissé entendre à quelqu’un connu sous le nom de ‘pompompurine‘, comme l’auteur probable de l’attaque. Troia dit que l’individu a été associé dans le passé à des incidents visant à nuire à la réputation du chercheur en sécurité.

Le travail de Troia en tant que chercheur en sécurité a fait l’objet d’un article de 2018 ici intitulé « Quand les chercheurs en sécurité se font passer pour des cyberescrocs, qui peut faire la différence ? » Sans aucun doute, ce canular était un autre effort pour brouiller cette distinction.

Mise à jour, 14 novembre, 11 h 31 HE : Le FBI a publié une déclaration mise à jour :

« Le FBI est au courant d’une mauvaise configuration logicielle qui a temporairement permis à un acteur de tirer parti du portail d’entreprise de l’application de la loi (LEEP) pour envoyer de faux e-mails. LEEP est l’infrastructure informatique du FBI utilisée pour communiquer avec nos partenaires d’application de la loi étatiques et locaux. Alors que l’e-mail illégitime provenait d’un serveur exploité par le FBI, ce serveur était dédié à envoyer des notifications pour LEEP et ne faisait pas partie du service de messagerie d’entreprise du FBI. Aucun acteur n’a pu accéder ou compromettre des données ou des informations personnelles sur le réseau du FBI. Une fois que nous avons appris l’incident, nous avons rapidement corrigé la vulnérabilité logicielle, averti nos partenaires de ne pas tenir compte des faux e-mails et confirmé l’intégrité de nos réseaux.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *