قراصنة يخترقون بريد مكتب التحقيقات الفدرالي

في ستينيات القرن الماضي قامت حروب داخلية بين العصابات الإجرامية “المافيا” لتصفية بعضها بعضا، والآن في هذا العصر الرقمي يبدو أن هذه الحروب أصبحت واقعا بين القراصنة وساحتها الفضاء الرقمي.

فقد سمح خطأ في موقع مكتب التحقيقات الفدرالي (FBI) للمتسللين باستخدام عنوان البريد الإلكتروني الرسمي لمكتب التحقيقات الفدرالي.

واستهدف المتسللون خوادم البريد الإلكتروني التابعة لمكتب التحقيقات الفدرالي، وأرسلوا آلاف الرسائل المزيفة التي تقول إن مستلميها أصبحوا ضحايا “هجوم متسلسل متطور”، وتم الإبلاغ عن الحادثة لأول مرة بواسطة “بليبنغ كمبيوتر” وهو موقع ويب يغطي أخبار التكنولوجيا ويقدم مساعدة مجانية للحواسيب عبر منتدياته.

تم الكشف عن رسائل البريد الإلكتروني في البداية بواسطة مشروع “سبام هاوس” (Spamhaus)، وهي منظمة غير ربحية تحقق في مرسلي البريد الإلكتروني العشوائي.

حرب القراصنة

تدعي رسائل البريد الإلكتروني أن “فيني ترويا” (Vinny Troia) كانت وراء الهجمات المزيفة وتذكر أيضا أن ترويا مرتبطة بمجموعة القرصنة سيئة السمعة “ذا دارك أوفرلورد” (The Dark Overlord) وهم نفس المجموعة التي سربت الموسم الخامس من مسلسل “أورانغ ذا نيو بلاك” (Orange Is the New Black) الشهير قبل عرضه.

وترويا في الواقع هي باحثة بارزة في مجال الأمن السيبراني تدير شركتين لأمن الويب المظلم هما “نايت ليون” (NightLion) و”شادو بايت” (Shadowbyte).

ووفقا لـ”بليبنغ كمبيوتر”، من المحتمل أن تكون حملة البريد العشوائي بمثابة محاولة لتشويه سمعة ترويا، الذي رجحت في تغريدة أن الشخص الذي يطلق عليه اسم “بومبورين” (Pompompurin) ربما يكون قد شن الهجوم. ووفقًا لملاحظات بليبنغ كمبيوتر، يُزعم أن هذا الشخص نفسه حاول الإضرار بسمعة ترويا بطرق مماثلة في الماضي.

كما ربط تقرير لبراين كريبس -خبير أمن الحاسوب- بومبورين بالحادث، حيث يزعم أن الشخص أرسل له رسالة من عنوان بريد إلكتروني لمكتب التحقيقات الفدرالي عندما تم شن الهجمات، قائلا “مرحبا يا بومبورين. تحقق من رؤوس هذه الرسالة الإلكترونية، إنها في الواقع واردة من خادم مكتب التحقيقات الفدرالي”.

وحصل موقع “كريبس أون سيكيورتي”(KrebsOnSecurity) على فرصة للتحدث مع بومبورين، الذي يدعي أن الاختراق كان يهدف إلى تسليط الضوء على الثغرات الأمنية داخل أنظمة البريد الإلكتروني لمكتب التحقيقات الفدرالي.

وقال بومبورين، في بيان لموقع “كريبس أون سكيورتي”، “كان بإمكاني استخدام هذا بنسبة 1000% لإرسال المزيد من رسائل البريد الإلكتروني ذات المظهر الشرعي، وخداع الشركات لتسليم البيانات وما إلى ذلك”.

وأخبر القرصان المنفذ أيضا أنه استغل ثغرة أمنية في بوابة مؤسسة إنفاذ القانون (LEEP) -التابعة لمكتب التحقيقات الفدرالي- وتمكن من التسجيل للحصول على حساب باستخدام كلمة مرور لمرة واحدة مضمنة في برمجية “إتش تي إم إل” (HTML) للصفحة. من هناك، ادعى بومبورين أنهم كانوا قادرين على التلاعب بعنوان المرسل وهيئة البريد الإلكتروني، وتنفيذ حملة البريد العشوائي الضخمة.

ولاحظ “بليبنغ كمبيوتر” كيف تمكن المتسللون من إرسال رسائل بريد إلكتروني إلى أكثر من 100 ألف عنوان، تم حذفها جميعا من قاعدة بيانات السجل الأميركي.

ويقول تقرير صادر عن بلومبيرغ إن المتسللين استخدموا نظام البريد الإلكتروني الذي يتعامل مع الجمهور التابع لمكتب التحقيقات الفدرالي، مما يجعل رسائل البريد الإلكتروني تبدو أكثر شرعية ومقنعة للجمهور.

ويشهد الباحث في الأمن السيبراني كيفين بومونت أيضا على المظهر الشرعي للبريد الإلكتروني، مشيرا إلى أن مقدمات الرسائل تم ترويسها على أنها واردة من خوادم مكتب التحقيقات الفدرالي باستخدام عملية البريد المعرّف بمفاتيح النطاق المعروفة بـ “دي كيه آي إم” (DKIM) التي تعد جزءا من النظام الذي يستخدمه “جيميل” (Gmail) لإلصاق شعارات العلامة التجارية على رسائل البريد الإلكتروني التي تم التحقق منها حتى لا ينتهي بها المطاف في صناديق النفايات (Junk box) عند الجمهور.

ورد مكتب التحقيقات الفدرالي على الحادث في بيان صحفي، مشيرًا إلى أنه “وضع مستمر” وأن “الأجهزة المتأثرة تم قطعها دون اتصال”. وبصرف النظر عن ذلك، يقول مكتب التحقيقات الفدرالي إنه ليس لديه أي معلومات أخرى يمكنه مشاركتها في هذا الوقت.

مع هذا النوع من الوصول والاختراق، يمكن أن يكون الهجوم أسوأ بكثير من التنبيه الخاطئ الذي يضع مسؤولي النظام في حالة تأهب قصوى.

وفي وقت سابق من هذا الشهر، كلف الرئيس جو بايدن بإصلاح الأخطاء، ودعا الوكالات الفدرالية المدنية إلى تصحيح أي تهديدات معروفة.

وفي مايو/أيار الماضي، وقع بايدن أمرا تنفيذيا يهدف إلى تحسين الدفاعات الإلكترونية للولايات المتحدة في أعقاب الهجمات الضارة على خط أنابيب “كولونيال بايبلاين” (Colonial Pipeline) وشركة “سولار ويندز” (SolarWinds).

اترك تعليقا