Unbekannten Angreifern ist es gelungen, E-Mails von einem Konto auf Servern des FBI zu verschicken. Am frühen Samstagmorgen (deutscher Zeit) des 13.11.2021 kämpften viele US-Administratoren mit einer plötzlichen E-Mail-Flut. Absender war vermeintlich das US Federal Bureau of Investigation (FBI). In den E-Mails mit dem Betreff „Urgent: Attacker in the System“ wurde vor einer „sophisticated chain attack“ eines Advanced Threat Actors gewarnt. Die Nachricht wurde von der IP-Adresse 153.31.119.142 (mx-east-ic.fbi.gov) mit dem Absender eims@ic.fbi.gov verschickt. Wer sich den Text der Mail genauer anschaute und in der Sicherheitsszene bewandert war, kam aber schnell darauf, dass diese Warnung ein Fake sein musste. Denn als Threat Actor wurde Vinny Troia, benannt. Troia ist der Leiter der Sicherheitsforschung der Dark-Web-Intelligence-Unternehmen NightLion und Shadowbyte. Der Mann wurde daraufhin mit Telefonanrufen betroffener Anwender überhäuft. Die gemeinnützige Organisation SpamHaus bestätigt bald in einem Tweet, dass die Warn-E-Mails in der Tat vom FBI/DHS (Federal Bureau of Investigation/ Department of Homeland Security) stammen, aber vom Inhalt schlicht Fakes sind. Diese gefälschten Warn-E-Mails werden an Adressen gesendet, die offenbar aus der ARIN-Datenbank entnommen wurden. Insgesamt geht man von mehr als 100.000 E-Mails aus, die bei den Empfängern eine Menge Störungen verursachten, weil die Kopfzeilen der Nachrichten echt waren und sie von der FBI-Infrastruktur versandt wurden. Spamfilter ließen diese Nachrichten unbeanstandet durch. SpamHaus schrieb später, dass auf Basis ihrer Telemetrie die Mails in zwei Wellen um 5:00 Uhr (UTC) und um 7:00 Uhr (UTC) versandt wurden. Da diese Mails aber keine Namen oder Kontaktinformationen im Signaturteil enthalten, fordert SpamHaus die Empfänger auf, vorsichtig zu sein. Einige Stunden später veröffentlichte das FBI eine dünne Stellungnahme mit dem Inhalt, dass dem FBI und der CISA der Vorfall bekannt sei, bei dem gefälschte E-Mails von einem @ic.fbi.gov-E-Mail-Konto versendet wurden. Die Situation sei noch nicht abgeschlossen, und man könne zum aktuellen Zeitpunkt keine weiteren Informationen zur Verfügung stellen. Die betroffene Hardware wurde nach der Entdeckung des Problems schnell vom Netz genommen. Das FBI fordert die Öffentlichkeit auf, weiterhin vorsichtig gegenüber unbekannten Absendern in Mails zu sein und bittet dringend, verdächtige Aktivitäten an ic3.gov oder cisa.gov zu melden. Da die betreffenden Mails aber von den vertrauenswürdigen E-Mail-Servern stammen, hilft dieser Hinweis den Betroffenen nicht wirklich weiter. Wer die Hintermänner des Hacks waren, ist unbekannt. Sicherheitskreise spekulieren über die Hintergründe. So ist eine Rufschädigung von Vinny Troia und seinen Unternehmen ein mögliches Motiv. Oder jemand wollte zeigen, dass auch die IT-Infrastruktur des FBI gehackt werden kann.Inzwischen hat sich eine Person mit dem Namen „Pompompurin“ gemeldet und gibt an, die Aktion als Hinweis auf eine schwere Coding-Lücke beim FBIausgeführt zu haben. Über das Law Enforcement Enterprise Portal (LEEP) war ein illegaler Zugriff auf das E-Mail-System des FBI möglich, da bei der Registrierung eines Nutzerzugangs ein Passcode im HTML-Code der Webseite weitergegeben wurde. „Pompompurin“ reichte ein kleines Script, um über diesen Mechanismus Tausende Mails über das FBI-E-Mail-System zu versenden. Diese Möglichkeit ist seit Samstag nicht mehr gegeben, da das FBI diese Funktion abgeschaltet hat.

Quelle: Heise