Nos confrères de The Verge rapportent qu’un ou plusieurs pirates ont réussi à faire tomber la sécurité du système de distribution d’emails du FBI. Le ou les responsables ont ensuite envoyé plus de 100 000 emails de spam à une liste de destinataires tirées de la base de données American Registry for Internet Numbers (ARIN) depuis les serveurs de l’agence de renseignement.
Les messages de spam en question sont particulièrement étranges. Le texte semble avoir été généré au moins en partie de manière aléatoire. Un des emails, repris par le twittos Spamhaus est en effet rédigé comme suit : “notre surveillance du renseignement indique l’exfiltration de plusieurs de vos clusters virtualisés dans une attaque en chaîne sophistiquée. Nous avons essayé de rediriger les nodes de transit de cette menace avancée vers un trou noir. Cependant il y a de grandes chances qu’il modifie son attaque avec des technologies fastflux qu’il met en proxy au travers de multiples accélérateurs”.
Une faille sur un portail du FBI a permis à un ou plusieurs pirates de pirater le serveur mail
Le message poursuit : “nous avons identifié l’auteur de la menace comme étant Vinny Troia, que nous pensons affiliés avec le gang TheDarkOverlord spécialisé dans l’extorsion. Nous recommandons expressément de vérifier vos systèmes et monitoring IDS. Faites attention car cet auteur de menaces travaille en ce moment sous inspection du NCIC. Comme nous sommes dépendants de ses recherches en matière de renseignement nous ne pouvons assurer d’interaction physique pendant 4 heures”
“Cela peut suffire à causer de graves dommages à votre infrastructure. Restez en sécurité”, conclut le message signé “US Departement of Homeland Security | Cyber Threat Detection and Analysis | Network Analysis Group”. Comme le rapporte The Verge, le message fait référence à The Dark Overlord – des pirates qui seraient les auteurs présumés de la fuite de la cinquième saison de Orange is the New Black.
On relève que le message tente d’impliquer Vinny Troia qui est en réalité un des chercheurs en cybersécurité les plus respectés du secteur. L’agence de renseignement a rapidement reconnu le piratage, affirmant que “la situation est toujours en cours”, et que “le matériel impacté a été mis hors ligne”. Selon plusieurs chercheurs en sécurité, tout indique que l’auteur de l’attaque est un pirate qui se fait appeler Pompompurin.
Ce dernier avait déjà tenté d’égratigner la réputation de Vinny Troia avec un procédé similaire. Et il aurait envoyé directement cet email au journaliste Brian Krebs en lien avec l’incident : “Hi, c’est Pompompurin. Regarde les headers de cet email, le message provient bel et bien du serveur du FBI”. Et le pirate d’ajouter au journaliste : “J’aurais pu à 1000% utiliser cela pour envoyer des emails plus trompeurs, manipuler des entreprises pour leur conduire à me livrer des données, etc…”
Ce qui laisse peu de place au doute. Le pirate dévoile même la méthode qui lui a permis de faire tomber la sécurité du FBI : ce dernier a exploité une faille sur le portail web Law Enforcement Enterprise du FBI. Concrètement, il a pu se connecter avec des identifiants et un code à usage unique qui, apparemment, était caché dans le code source de la page. De là, le pirate a eu accès au système d’emails et a pu envoyer les quelques 100 000 messages.
Lire aussi – Le directeur du FBI compare la vague d’attaques par ransomwares au 11 septembre
Toute la question est maintenant de savoir comment va réagir l’agence. Le FBI ne plaisante généralement pas avec les tentatives de piratage…
These fake warning emails are apparently being sent to addresses scraped from ARIN database. They are causing a lot of disruption because the headers are real, they really are coming from FBI infrastructure. They have no name or contact information in the .sig. Please beware!
— Spamhaus (@spamhaus) November 13, 2021
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
