{"id":259424,"date":"2021-11-14T00:23:17","date_gmt":"2021-11-13T23:23:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259424"},"modified":"2023-09-19T11:36:45","modified_gmt":"2023-09-19T09:36:45","slug":"e-mail-server-des-fbi-gehackt-verteilt-fake-warnungen-von-cyberangriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/14\/e-mail-server-des-fbi-gehackt-verteilt-fake-warnungen-von-cyberangriffen\/","title":{"rendered":"E-Mail-Server des FBI gehackt\/ausgetrickst, verteilt Fake-Warnungen von Cyberangriffen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Es geht schon ein paar Stunden auf Twitter herum: Die E-Mail-Server des FBI (Federal Bureau of Investigation) wurden gehackt, bzw., wie nun bekannt wurde, durch eine fehlerhafte Software-Konfiguration ausgetrickst und missbraucht. Die oder der Angreifer verschickten hunderttausende \"dringende Warnungen\" vor angeblichen Cyberangriffen an zahlreiche Empf\u00e4nger. Administratoren k\u00e4mpften mit diesen Mails, die das FBI als Absender trugen, aber leicht als SPAM erkennbar waren. Hier ein kurzer \u00dcberblick, was war.<\/p>\n

<\/p>\n

\"\"Es ist einfach unglaublich, was sich am fr\u00fchen Samstag in den USA abspielte. Administratoren k\u00e4mpften mit hunderten von Mails des Federal Bureau of Investigation (FBI), die vor einer \"sophisticated chain attack\" eines Advanced Thread Actors warnte. Der Name des Thread Actors lautete Vinny Troia, Troia ist der Leiter der Sicherheitsforschung der Dark-Web-Intelligence-Unternehmen NightLion und Shadowbyte – da hatte wohl jemand echten Humor.<\/p>\n

Erste Meldungen hatte ich im Laufe des Samstags gesehen, denn der US-Sicherheitsblogger Brian Krebs hatte eine solche E-Mail erhalten, die er in nachfolgendem Tweet<\/a> zeigt.<\/p>\n

\"FBI<\/a><\/p>\n

Die gemeinn\u00fctzige Organisation SpamHaus best\u00e4tigt in einem Tweet, dass die Mails wirklich vom FBI\/DHS (Federal Bureau of Investigation\/ Department of Homeland Security) stammen. Aber die E-Mails sind alle Fakes. SpamHaus stellte fest, dass Zehntausende dieser Nachrichten in zwei Wellen verschickt wurden, glaubt aber, dies nur ein kleiner Teil der Kampagne ist. Nachfolgender Tweet<\/a> geht von mehr als 100.000 Fake-Mails aus und zeigt einen Ausriss einer solchen E-Mail.<\/p>\n

\"Fake<\/a><\/p>\n

Der Nachrichtentext lautet:<\/p>\n

Our intelligence monitoring indicates exfiltration of several of your \r\nvirtualized clusters in a sophisticated chain attack. We tried to\r\nblackhole the transit nodes used by this advanced persistent threat\r\nactor, however there is a huge chance he will modify his attack with\r\nfastflux technologies, which he proxies trough multiple global \r\naccelerators. We identified the threat actor to be Vinny Troia,\r\nwhom is believed to be affiliated with the extortion gang \r\nTheDarkOverlord, We highly recommend you to check your systems \r\nand IDS monitoring. Beware this threat actor is currently working \r\nunder inspection of the NCCIC, as we are dependent on some of his \r\nintelligence research we can not interfere physically within 4 hours, \r\nwhich could be enough time to cause severe damage to your infrastructure.\r\n\r\nStay safe,\r\n\r\nU.S. Department of Homeland Security | Cyber Threat Detection and Analysis | Network Analysis Group<\/code><\/pre>\n
Inzwischen haben das FBI und CISA nachfolgenden Tweet<\/a> mit einem Link auf ein entsprechendes Statement<\/a> zum Vorfall ver\u00f6ffentlicht. Im Statement hei\u00dft es:<\/p>\n
\"FBI<\/a><\/p>\n
November 13, 2021<\/p>\n
FBI Statement on Incident Involving Fake Emails<\/h3>\n
The FBI and CISA are aware of the incident this morning involving fake emails from an @ic.fbi.gov email account. This is an ongoing situation, and we are not able to provide any additional information at this time. The impacted hardware was taken offline quickly upon discovery of the issue. We continue to encourage the public to be cautious of unknown senders and urge you to report suspicious activity to ic3.gov or cisa.gov.<\/p><\/blockquote>\n
Kurz und knapp in aller W\u00fcrze: Dem FBI und der CISA ist der Vorfall von heute Morgen bekannt, bei dem gef\u00e4lschte E-Mails von einem @ic.fbi.gov-E-Mail-Konto versendet wurden. Die Situation ist noch nicht abgeschlossen, und die Leute k\u00f6nnen zum jetzigen Zeitpunkt keine weiteren Informationen zur Verf\u00fcgung stellen. Die betroffene Hardware wurde nach der Entdeckung des Problems schnell vom Netz genommen. Das FBI fordert die \u00d6ffentlichkeit weiterhin auf, unbekannten Absendern gegen\u00fcber vorsichtig zu sein und bitten dringend, verd\u00e4chtige Aktivit\u00e4ten an ic3.gov oder cisa.gov zu melden.<\/p>\n
Die Kollegen von Bleeping Computer haben inzwischen diesen Artikel<\/a> mit einigen Details ver\u00f6ffentlicht. Es wird vermutet, dass man wohl dem Sicherheitsforscher Vinny Troia schaden wollte. Ein deutschsprachiger Beitrag ist bei Tarnkappe<\/a> zu finden.<\/p>\n
Mutma\u00dflicher Urheber ver\u00e4rgert \u00fcber Coding-L\u00fccke bei FBI<\/h2>\n
Beim Sicherheitsblogger Brian Krebs hat sind inzwischen jemand mit dem Alias pompompurin gemeldet<\/a>, der behauptet, der Urheber der Aktion zu sein. Gegen\u00fcber Krebs gab er an, dass der Hack durchgef\u00fchrt wurde, um auf eine eklatante Schwachstelle im System des FBI hinzuweisen.<\/p>\n
Laut Pompompurin erm\u00f6glichte das Law Enforcement Enterprise Portal (LEEP)\u00a0 den illegalen Zugriff auf das E-Mail-System des FBI. Das FBI beschreibt das LEEP als ein Gateway, welches Strafverfolgungsbeh\u00f6rden, Geheimdienstgruppen und Strafjustizbeh\u00f6rden Zugang zu n\u00fctzlichen Ressourcen bietet.<\/p>\n
Bis zum Vorfall am Samstag konnte jeder \u00fcber das LEEP-Portal ein Konto beantragen. Bei der Registrierung muss der Antragsteller pers\u00f6nliche Daten und Kontaktinformationen\u00a0seiner Organisation angeben. Dabei erh\u00e4lt der Antragsteller eine E-Mail-Best\u00e4tigung von eims@ic.fbi.gov mit einem einmaligen Passcode . Damit soll best\u00e4tigt werden k\u00f6nnen, dass der Antragsteller unter der fraglichen Domain E-Mails empfangen kann.<\/p>\n
Laut Pompompurin hat das FBI jedoch auf seiner eigenen Website diesen Einmal-Passcode im HTML-Code der Webseite weitergegeben. Gegen\u00fcber Krebs on Security gab Pompompurin an, dass \"sie\" in der Lage waren, sich selbst eine E-Mail von eims@ic.fbi.gov zu senden, indem sie die an ihren Browser gesendete Anfrage bearbeiteten und den Text in den Feldern \"Betreff\" und \"Textinhalt\" der Nachricht \u00e4nderten. Krebs zitiert Pompompurin:<\/p>\n
Wenn Sie den Best\u00e4tigungscode angefordert haben, wurde er clientseitig generiert und dann \u00fcber eine POST-Anfrage an Sie gesendet. Diese POST-Anfrage enth\u00e4lt die Parameter f\u00fcr den Betreff und den Inhalt der E-Mail.<\/p><\/blockquote>\n
Pompompurin entwickelte ein einfaches Skript, welches die Parameter durch seinen eigenen Nachrichtenbetreff und -text ersetzte und den Versand der gef\u00e4lschten Nachricht an Tausende von E-Mail-Adressen automatisierte. Dazu sagt der Hacker:<\/p>\n
Ich h\u00e4tte das zu 1000% nutzen k\u00f6nnen, um noch legitimer aussehende E-Mails zu verschicken, Unternehmen zur Herausgabe von Daten zu bewegen usw. Und niemand, der verantwortungsbewusst ist, h\u00e4tte dies aufgrund des Hinweises, den das FBI auf seiner Website ver\u00f6ffentlicht hat, jemals entdeckt.<\/p><\/blockquote>\n
Inzwischen ist die Funktion des LEEP-Portals zum Best\u00e4tigen abgeschaltet. Details zu den obigen Ausf\u00fchrungen hat Brian Krebs im oben verlinkten Artikel mit Screenshots dokumentiert. Das Ganze wird inzwischen vom FBI best\u00e4tigt, wie der Tweet<\/a> von Bleeping Computer zeigt.<\/p>\n
\"FBI<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Es geht schon ein paar Stunden auf Twitter herum: Die E-Mail-Server des FBI (Federal Bureau of Investigation) wurden gehackt, bzw., wie nun bekannt wurde, durch eine fehlerhafte Software-Konfiguration ausgetrickst und missbraucht. Die oder der Angreifer verschickten hunderttausende \"dringende Warnungen\" vor … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-259424","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259424","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259424"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259424\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259424"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259424"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259424"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}