Sự thật đằng sau 100.000 email giả mạo được gửi bởi FBI.
FBI – Cục Điều tra Liên bang – là cơ quan trực thuộc Bộ Tư pháp Hoa Kỳ, có nhiệm vụ thực hiện điều tra tội phạm ở cấp độ liên bang và tình báo nội địa. Chẳng cần phải là công dân Hoa Kỳ, chúng ta cũng đã quá quen với tổ chức này thông qua sách báo và phim ảnh.
Ấy thế mà một ngày đẹp trời nọ, bạn chợt nhận ra cũng có FBI “this” và FBI “that”.
Ngày 13/11/2021, FBI xác nhận rằng tên miền fbi.gov và địa chỉ Internet của họ đã bị lợi dụng để gửi hơn 100.000 email giả mạo về một cuộc điều tra tội phạm mạng. Và kẻ mạo danh – FBI “that” có vẻ rất hứng thú với việc chia sẻ các thông tin sau khi thực hiện “một cú lừa” này.
Câu chuyện bắt đầu vào tối ngày 12/11 (giờ Mỹ), hơn 100.000 tổ chức và người dùng đã nhận được một cảnh báo được gửi đi từ địa chỉ FBI eims@ic.fbi.gov, cảnh báo về các cuộc tấn công mạng giả mạo.
Cùng thời điểm đó, trang tin về an toàn thông tin KrebsOnSecurity cũng nhận được một thông điệp gửi từ cùng một địa chỉ email: “Xin chào, tui là pompompurin đây. Check mục “người gửi” của email này mà xem, hàng chuẩn được gửi từ máy chủ của FBI đấy nhé. Hôm nay, tôi liên hệ với bạn để thông báo rằng chúng tôi đã đặt một mạng botnet trên máy chủ của bạn, giờ thì bắt tay vào hành động đi nào, cảm ơn vì đã đọc tin nhắn này”.
Quả thật là vậy, địa chỉ gửi email là eims@ic.fbi.gov – tương ứng với bộ phận Dịch vụ Thông tin Tư pháp Hình sự (CJIS) của FBI. Đây là bằng chứng không thể chối cãi rằng email này thực sự đến từ FBI và từ địa chỉ Internet của chính cơ quan này.
Theo như cuộc phỏng vấn của Pompompurin với KrebsOnSecurity, thì có vẻ động cơ thực hiện vụ tấn công là do tên này khá ngứa mắt với một lỗ hổng hiển nhiên trong hệ thống của FBI.
“Tôi khẳng định cả 1000% là tôi hoàn toàn đã có thể sử dụng cách thức này để gửi nhiều email hợp pháp nhằm lừa các công ty chuyển giao dữ liệu…” – Pompompurin nói. “Và sẽ chẳng có ai, kể cả những người chịu trách nhiệm tiết lộ thông tin, phát hiện ra việc làm này của tôi cả.
Pompompurin cho biết việc truy cập bất hợp pháp vào hệ thống email của FBI bắt đầu bằng cách “mày mò” Cổng thông tin doanh nghiệp thực thi pháp luật (LEEP). LEEP được FBI mô tả là “một cổng cung cấp thông tin cho các cơ quan thực thi pháp luật, nhóm tình báo và các tổ chức tư pháp hình sự truy cập vào các nguồn tin hữu ích”.
“Những nguồn thông tin này sẽ giúp đẩy nhanh tiến trình vụ án cho các điều tra viên, nâng cao khả năng chia sẻ thông tin giữa các cơ quan và truy cập thông tin chỉ ở một nguồn tập trung” – dòng thông báo trên webiste của FBI đăng tải.
Cho đến sáng ngày 13/11, cổng LEEP vẫn cho phép tất cả mọi người đăng ký tài khoản. Hướng dẫn từng bước để đăng ký tài khoản mới trên cổng LEEP cũng có sẵn trên trang web của DOJ (Bộ Tư pháp Hoa Kỳ). Phải lưu ý rằng “Bước 1” trong hướng dẫn là truy cập trang web bằng Internet Explorer, một trình duyệt web từ thời Napoleon mà ngay cả Microsoft cũng không còn khuyến khích mọi người sử dụng vì lý do an toàn.
Phần lớn quá trình đăng ký là điền vào các biểu mẫu với thông tin liên hệ và thông tin cá nhân của người nộp đơn cũng như đơn vị công tác của họ. Một bước quan trọng trong quy trình đó là người đăng ký sẽ nhận được email xác nhận từ eims@ic.fbi.gov với mật mã dùng một lần (OTP) để xác thực rằng họ có thể nhận email tại tên miền được đề cập ở trên.
Nhưng theo Pompompurin, trang web của FBI đã làm rò rỉ OTP đó trong mã HTML của trang web.
Pompompurin cho biết chúng có thể gửi email cho chính mình từ địa chỉ eims@ic.fbi.gov bằng cách chỉnh sửa yêu cầu được gửi đến trình duyệt và thay đổi văn bản trong trường “Chủ đề” và trường “Nội dung văn bản” của tin nhắn.
Một email thử nghiệm sử dụng hệ thống liên lạc của FBI mà Pompompurin đã gửi đến một địa chỉ email tạm.
“Về cơ bản, khi bạn yêu cầu mã xác nhận, mã này sẽ được tạo ở phía máy khách, sau đó được gửi cho bạn thông qua POST request” – Pompompurin nói. “POST request này bao gồm các tham số cho chủ đề email và nội dung email”.
Pompompurin cho biết một đoạn script đơn giản đã thay thế các tham số đó bằng chủ đề và nội dung thư của riêng mình, đồng thời tự động gửi thư lừa đảo tới hàng nghìn địa chỉ email.
Một ảnh chụp màn hình được chia sẻ bởi Pompompurin cho biết cách chúng lợi dụng hệ thống email của FBI để gửi đi một thông điệp giả mạo.
Tên này đã chia sẻ một ảnh chụp màn hình và cho biết đó chính là cách chúng lợi dụng hệ thống email của FBI để gửi đi một thông điệp giả mạo.
“Không phải bàn cãi, đây là điều tồi tệ đối với bất kỳ website nào” – Pompompurin nói. “Tôi đã thấy lỗi này một vài lần trước đây, nhưng chưa bao giờ thấy trên trang web của chính phủ chứ đừng nói đến trang do FBI quản lý”.
Theo các chuyên gia an ninh mạng, email do các tin tặc gửi đi không đính kèm tệp tin độc hại. Do đó, nhiều khả năng tin tặc chỉ tình cờ phát hiện ra lỗ hổng an ninh và không có dự định hay kế hoạch tấn công từ trước.
Tuy nhiên việc tin tặc có thể xâm nhập vào các máy chủ của chính phủ để làm điều này là rất bất thường và vô cùng nguy hiểm.
Như chúng ta có thể thấy từ ảnh chụp màn hình đầu tiên, thông điệp chơi khăm của Pompompurin nhằm bôi nhọ tên tuổi của Vinny Troia – người sáng lập ra các công ty tình báo về Dark web NightLion và Shadowbyte.
Các email “vu oan” rằng Vinny Troia chính là chủ mưu các cuộc tấn công này và có liên quan đến một nhóm hacker khét tiếng mang tên The Dark Overlord – những kẻ đã làm rò rỉ thông tin nội dung mùa thứ 5 của series phim truyền hình trên Netflix- “Orange Is the New Black”.
Nhà báo Ionut Ilascu cho biết: “Thành viên của một diễn đàn dành cho hacker mua bán, trao đổi dữ liệu có mối thâm thù với Troia và thường xuyên tấn công deface các trang web cũng như thực hiện các vụ hack nhỏ sau đó đổ lỗi cho nhà nghiên cứu an ninh mạng này”. Tweet về chiến dịch thư rác này, Vinny Troia ám chỉ ai đó được gọi là ‘pompompurin’, có khả năng là tác giả của vụ tấn công. Troia nói rằng cá nhân này trong quá khứ đã liên quan đến các vụ việc nhằm làm tổn hại danh tiếng của mình”.Troia – với tư cách là một nhà nghiên cứu an ninh – đã viết một bài báo năm 2018 có tiêu đề “Khi các nhà nghiên cứu an ninh đóng vai trò là Cybercrooks, đâu là sự khác biệt?” Không nghi ngờ gì trò lừa bịp này là một nỗ lực khác nhằm xóa mờ sự khác biệt đó.
Vụ việc vẫn đang tiếp tục được điều tra. Mới đây FBI đã đưa thêm thông tin cập nhật rằng việc cấu hình sai một phần mềm đã tạm thời cho phép kẻ tấn công lợi dụng Cổng thông tin doanh nghiệp thực thi pháp luật (LEEP) để gửi email giả mạo. LEEP là cơ sở hạ tầng CNTT của FBI được sử dụng để liên lạc với các bên thực thi pháp luật của tiểu bang và địa phương của họ. Mặc dù email bất hợp pháp có nguồn gốc từ một máy chủ do FBI vận hành, nhưng máy chủ đó được dành riêng để đẩy thông báo cho LEEP và không phải là một phần của dịch vụ email dành cho doanh nghiệp của FBI. Không có tác nhân nào có thể truy cập hoặc xâm phạm bất kỳ dữ liệu hoặc PII nào trên mạng của FBI.
“Sau khi biết được sự cố, chúng tôi đã nhanh chóng khắc phục lỗ hổng phần mềm, cảnh báo các đối tác xem xét các email giả mạo và xác nhận tính toàn vẹn của mạng của chúng tôi” – FBI cho biết.
Tháng 5 năm nay, Tổng thống mỹ Joe Biden đã ký một lệnh hành pháp nhằm cải thiện khả năng bảo mật an ninh mạng quốc gia trước các cuộc tấn công vào Colonial Pipeline và SolarWinds. Tuy nhiên, có vẻ lệnh hành pháp này vẫn chưa đủ “rắn tay” để răn đe những tin tặc đang nhăm nhe tấn công mạng xứ sở cờ hoa.
Theo nguồn sưu tầm.