FBI tarafından yönetilen e-posta sunucuları, alıcıların ağının ihlal edildiğine ve verilerin çalındığına dair FBI uyarılarını taklit eden spam e-postaları dağıtmak için hacklendi.
Gönderilen e-postalarda, Vinny Troia olarak tanımladıkları, bilinen gelişmiş bir tehdit aktöründen gelen “sofistike zincirleme saldırı” hakkında uyarı veriliyordu.
Kâr amacı gütmeyen spam izleme platformu SpamHaus, bu iletilerden on binlercesinin iki dalga halinde gönderildiğini fark etti. Yetkililer bu e-postaların, palanlanan saldırının sadece küçük bir parçası olduğuna inanıyorlar.
Doğru görünen adresler sahte içerik gönderiyor
İstenmeyen postaları ve ilişkili siber tehditleri (kimlik avı, botnet’ler, kötü amaçlı yazılımlar) izleyen uluslararası bir sivil toplum kuruluşu olan Spamhaus Project’teki araştırmacılar, bu saldırıları 13 Kasım sabahında gözlemledi.
FBI’ın Emniyet Teşkilatı Kurumsal Portalı’ndan (LEEP) gelen ve “Acil: Sistemdeki tehdit aktörü” konusunu taşıyan mesajlar gerçekten FBI’a ait olan bir e-posta adresinden geldi ([email protected]).
Spamhaus, tüm e-postaların FBI’ın 153.31.119.142 (mx-east-ic.fbi.gov) IP adresinden geldiğini söyledi.
Gönderilen e-postada, alıcıların ağında bir tehdit unsurunun tespit edildiği ve cihazlardan veri çalındığı konusunda uyarı yapılıyor.
Spamhaus yetkilileri, sahte e-postaların en az 100.000 posta kutusuna ulaştığını söyledi. Ancak araştırmacılar, “saldırının potansiyel olarak çok, çok daha büyük olduğuna” inanıyor.
Spamhaus paylaşmış olduğu bir tweet’te ise, alıcıların Amerikan İnternet Numaraları Kayıt Defteri (ARIN) veritabanından kazındığını söyledi.
Bu bir şaka gibi görünse de, e-postaların FBI sunucularından geldiğine şüphe yok, çünkü mesajın başlıkları, kaynağının DomainKeys Identified Mail (DKIM) mekanizması tarafından doğrulandığını gösteriyor.
FBI, e-postaların içeriğinin sahte olduğunu ve yardım masalarının endişeli yöneticilerden gelen çağrılarla dolup taşması nedeniyle sorunu çözmek için çalıştıklarını doğruladı.
FBI tarafından yapılan başka bir açıklamada ise, spam kampanyasının arkasındaki tehdit aktörünün e-postaları göndermek için bir yazılım yapılandırmasından yararlandığı belirtildi.
Mesajlar FBI tarafından yönetilen bir sunucudan gönderilirken, makine ajansın kurumsal e-postasından izole edildi ve FBI ağındaki herhangi bir veriye veya kişisel olarak tanımlanabilir bilgilere erişim sağlamadı.
Güvenlik araştırmacısını itibarsızlaştırmayı amaçlıyor
Bu kampanyanın arkasında kim varsa, mesajda sahte tedarik zinciri saldırısından sorumlu tehdit aktörü olarak adlandırılan karanlık ağ istihbarat şirketi Shadowbyte’nin kurucusu Vinny Troia’yı itibarsızlaştırmaya motive olmuş olabilir.
RaidForums korsan topluluğunun üyeleri, Troia ile uzun süredir devam eden bir kan davasının içinde.
Bu spam kampanyası hakkında tweet atan Vinny Troia, saldırının muhtemel sorumlusu olarak “pompoourin” olarak bilinen birini imâ etti. Troia, kişinin geçmişte güvenlik araştırmacısının itibarına zarar vermeyi amaçlayan olaylarla ilişkilendirildiğini söylüyor.
Kaynak: bleepingcomputer.com
Diğer Haberler
Microsoft: Windows 11 Build 22000.346’da Yazıcı Sorunları Giderildi
Microsoft Edge Kullanıcıları Reklam Bombardımanına Tutuyor
Microsoft, Windows 11’de AMD Performans Sorununu Gideren Yamayı Dağıtıma Sundu
