ארה״ב: האקרים פרצו למערכת הפנימית של שירותי אכיפת החוק כדי להטריל חוקר סייבר
כמאה אלף הודעות פייק ניוז נשלחו למשתמשים בפורטל המשמש לתקשורת בין ה-FBI וגורמי אכיפה ברחבי ארה״ב. ההודעות התריעו לגבי אפשרות מתקפת סייבר מתוחכמת שעתיד לבצע ויני טרויה – חוקר נודע של הרשת האפלה
מנדי קוגוסובסקי
| 16/11/2021
ויני טרויה, מתוך vinnytroia.com
האקרים חדרו למערכת הדוא״ל הפנימית של שירותי אכיפת החוק בארה״ב ושלחו לפחות מאה אלף הודעות פייק ניוז המתריעות מפני מתקפת סייבר מתוחכמת על שרשרות אספקה. במסגרת האירוע, שנחשף ביום שבת, נעשה שימוש בכתובת לגיטימית של ה-FBI, שמסתיימת ב-@ic.fbi.gov.
מה-FBI נמסר תחילה כי מדובר ב״מצב מתגלגל״ וכי החומרה המעורבת נותקה מהרשת. פרטים נוספים נחשפו בהודעה נוספת שפורסמה ביום א׳, לפיה תצורת תוכנה שגויה אפשרה לגורם חיצוני גישה זמנית לשרת של פורטל אכיפת החוק LEEP (ר״ת של Law Enforcement Enterprise Portal), תשתית של הבולשת המשמשת לתקשורת עם שותפים פדרליים ומקומיים, על מנת לשלוח את ההודעות.
״בעוד שמקורו של הדוא״ל הבלתי לגיטימי בשרת שהופעל על ידי ה-FBI, השרת הזה הוקדש למטרת הודעות דחיפה (פוש) עבור חברי LEEP, ולא היה חלק משירות הדוא״ל הארגוני של ה-FBI. אף שחקן לא הצליח לגשת לנתונים ברשת ה-FBI או לסכן אותם״, כך לשון ההודעה.
אבל זה לא הכול: אותם מיילים שקריים שנשלחו התריעו כי מאחורי המתקפות הפוטנציאליות עומד לא אחר מאשר ויני טרויה, שתויג אמנם כ״גורם זדוני ומתוחכם״, אך הוא למעשה מומחה אבטחת סייבר מפורסם למדי, ועומד בראש צוות האבטחה של שתי חברות שהקים, המתמחות באיסוף מודיעין מהרשת האפלה.
"וואו, אני לא יכול אפילו לדמיין מי עומד מאחורי זה״
חוקרי ה-Spamhouse Project, עמותה בינ״ל המנטרת איומי סייבר-ספאם, הבחינו בהודעות שנשאו את הכותרת ״דחוף: שחקן איום במערכת״, והגיעו מכתובת ה-IP של ה-FBI, כך על פי דיווח של אתר Bleeping Computer ששוחח עם החוקרים. האתר מציין כי חברים בקהילת ההאקרים של RaidForums מצויים בסכסוך מתמשך עם טרויה, הפועל כמובן לחשוף את פעילותם, ולכן סביר כי מדובר למעשה בניסיון הטרלה על מנת לנסות להשחיר את שמו.
טרויה עצמו סבור כי מאחורי מתקפת הספאם הזו עומדת קבוצה זדונית בשם Pompompur_in, אותה זיהה גם בשם נוסף וידוע יותר – The Dark Overlord (קבוצה שהתפרסמה לאחר שהדליפה תכנים של נטפליקס, וכן מסמכים מחברות ביטוח ועריכת דין לכאורה הקשורים למתקפת 9/11(. הוא אמר ל-Bleeping Computer שהקבוצה ניסתה לטרגט אותו לא פעם בעבר.
עם היוודע דבר המתקפה, העלה טרויה לעמוד הטוויטר שלו צילום מסך של המייל השקרי (שאגב, מסתיים בחתימה כביכול של המחלקה לביטחון המולדת, בעוד שה-FBI שייך למחלקת המשפטים), וכתב בציניות ״וואו, אני לא יכול אפילו לדמיין מי עומד מאחורי זה״, תוך תיוג של עמודי הקבוצה בשני השמות.
במקביל, כתב חוקר האבטחה הנודע בריאן קרבס בבלוג שלו, Krebs on Security, כי גם הוא קיבל דוא״ל מאותה כתובת, שתוכנה היה: ״היי, כאן pompompurin, בדוק את המייל הזה – הוא באמת מגיע משרת של ה-FBI. אני יוצר עמך קשר היום כיוון שאיתרנו רשת בוטים שמתארחת על המצח שלך״. קרבס שוחח עם ההאקרים שאמרו כי מטרת הפריצה הייתה להצביע על החולשה הבולטת במערכת LEEP, שאפשרה למעשה לכל אדם לפתוח חשבון בה ולעקוף בקלות את הליך האימות.
אתמול (ב׳) צייץ טרויה כי ״מחר (בערך) אפרסם בלוג שחושף את זהות האקר ה-FBI, Pompompur_in״. בתגובה, נכתב בעמוד הקבוצה כי ״מחר (בערך) אפרסם את זהות ההאקר, ויני טרויה״.
כמאה אלף הודעות פייק ניוז נשלחו למשתמשים בפורטל המשמש לתקשורת בין ה-FBI וגורמי אכיפה ברחבי ארה״ב. ההודעות התריעו לגבי אפשרות מתקפת סייבר מתוחכמת שעתיד לבצע ויני טרויה – חוקר נודע של הרשת האפלה
ויני טרויה, מתוך vinnytroia.com
האקרים חדרו למערכת הדוא״ל הפנימית של שירותי אכיפת החוק בארה״ב ושלחו לפחות מאה אלף הודעות פייק ניוז המתריעות מפני מתקפת סייבר מתוחכמת על שרשרות אספקה. במסגרת האירוע, שנחשף ביום שבת, נעשה שימוש בכתובת לגיטימית של ה-FBI, שמסתיימת ב-@ic.fbi.gov.
מה-FBI נמסר תחילה כי מדובר ב״מצב מתגלגל״ וכי החומרה המעורבת נותקה מהרשת. פרטים נוספים נחשפו בהודעה נוספת שפורסמה ביום א׳, לפיה תצורת תוכנה שגויה אפשרה לגורם חיצוני גישה זמנית לשרת של פורטל אכיפת החוק LEEP (ר״ת של Law Enforcement Enterprise Portal), תשתית של הבולשת המשמשת לתקשורת עם שותפים פדרליים ומקומיים, על מנת לשלוח את ההודעות.
״בעוד שמקורו של הדוא״ל הבלתי לגיטימי בשרת שהופעל על ידי ה-FBI, השרת הזה הוקדש למטרת הודעות דחיפה (פוש) עבור חברי LEEP, ולא היה חלק משירות הדוא״ל הארגוני של ה-FBI. אף שחקן לא הצליח לגשת לנתונים ברשת ה-FBI או לסכן אותם״, כך לשון ההודעה.
אבל זה לא הכול: אותם מיילים שקריים שנשלחו התריעו כי מאחורי המתקפות הפוטנציאליות עומד לא אחר מאשר ויני טרויה, שתויג אמנם כ״גורם זדוני ומתוחכם״, אך הוא למעשה מומחה אבטחת סייבר מפורסם למדי, ועומד בראש צוות האבטחה של שתי חברות שהקים, המתמחות באיסוף מודיעין מהרשת האפלה.
"וואו, אני לא יכול אפילו לדמיין מי עומד מאחורי זה״
חוקרי ה-Spamhouse Project, עמותה בינ״ל המנטרת איומי סייבר-ספאם, הבחינו בהודעות שנשאו את הכותרת ״דחוף: שחקן איום במערכת״, והגיעו מכתובת ה-IP של ה-FBI, כך על פי דיווח של אתר Bleeping Computer ששוחח עם החוקרים. האתר מציין כי חברים בקהילת ההאקרים של RaidForums מצויים בסכסוך מתמשך עם טרויה, הפועל כמובן לחשוף את פעילותם, ולכן סביר כי מדובר למעשה בניסיון הטרלה על מנת לנסות להשחיר את שמו.
טרויה עצמו סבור כי מאחורי מתקפת הספאם הזו עומדת קבוצה זדונית בשם Pompompur_in, אותה זיהה גם בשם נוסף וידוע יותר – The Dark Overlord (קבוצה שהתפרסמה לאחר שהדליפה תכנים של נטפליקס, וכן מסמכים מחברות ביטוח ועריכת דין לכאורה הקשורים למתקפת 9/11(. הוא אמר ל-Bleeping Computer שהקבוצה ניסתה לטרגט אותו לא פעם בעבר.
עם היוודע דבר המתקפה, העלה טרויה לעמוד הטוויטר שלו צילום מסך של המייל השקרי (שאגב, מסתיים בחתימה כביכול של המחלקה לביטחון המולדת, בעוד שה-FBI שייך למחלקת המשפטים), וכתב בציניות ״וואו, אני לא יכול אפילו לדמיין מי עומד מאחורי זה״, תוך תיוג של עמודי הקבוצה בשני השמות.
במקביל, כתב חוקר האבטחה הנודע בריאן קרבס בבלוג שלו, Krebs on Security, כי גם הוא קיבל דוא״ל מאותה כתובת, שתוכנה היה: ״היי, כאן pompompurin, בדוק את המייל הזה – הוא באמת מגיע משרת של ה-FBI. אני יוצר עמך קשר היום כיוון שאיתרנו רשת בוטים שמתארחת על המצח שלך״. קרבס שוחח עם ההאקרים שאמרו כי מטרת הפריצה הייתה להצביע על החולשה הבולטת במערכת LEEP, שאפשרה למעשה לכל אדם לפתוח חשבון בה ולעקוף בקלות את הליך האימות.
אתמול (ב׳) צייץ טרויה כי ״מחר (בערך) אפרסם בלוג שחושף את זהות האקר ה-FBI, Pompompur_in״. בתגובה, נכתב בעמוד הקבוצה כי ״מחר (בערך) אפרסם את זהות ההאקר, ויני טרויה״.
