Des mails frauduleux du FBI
Le 13 novembre dernier, le système informatique du FBI fut mis à rude épreuve par une flopée d’e-mails frauduleux. Ces derniers avaient pris pour cible un chercheur en sécurité et furent expédiés depuis une adresse du FBI. De quel agent ? D’aucuns, mais semblerait-il que le forban derrière cet acte de piratage, non identifié, avait pu disposer avec facilité des serveurs de l’agence. Cela dura plusieurs heures jusqu’à résolution du problème.
FBI : brèche de sécurité et cyberattaque
Contre toute attente, les serveurs du FBI ont fait l’objet d’une cyberattaque il y a de cela quelques jours. Un pirate malveillant était parvenu à les infiltrer, et ce, avec facilité. Cela lui permit d’envoyer des milliers d’e-mails frauduleux depuis une adresse eims@is.fbi.gov. Ces contenus avaient comme objet « Acteur menaçant dans les systèmes ». Ils stipulaient que soi-disant, la surveillance des renseignements FBI avait décelé une exfiltration des multiples clusters virtualisés du destinataire au sein d’une attaque en chaîne bien rôdé. Dans le message, le trouble-fête pointait comme instigateur de la menace « Vinny Troia », le responsable de la recherche sur la sécurité auprès des sociétés de renseignement du dark web NightLion et Shadowbyte. Il indique que celui-ci présenterait un lien avec le groupe de cybercriminels « TheDarkOverlord ».
Compte tenu de ces faits, on suppose que cette dénonciation masquée relève plutôt d’une intention de discréditation de Vinny Troia.
Cette activité frauduleuse aux allures d’arnaque fut détectée en premier par l’OING (organisation internationale non gouvernementale) Spamhaus. Dès lors, cette dernière lança une alerte et appela à la prudence sur Twitter pour avertir les éventuels destinataires, des adresses issues de la base de données American Registry for Internet Numbers (ARIN).
Une menace réelle, mais vite contenue
Au vu de la situation, le FBI a vite repris du galop en reprenant en main ses serveurs. L’agence confirma dans la même foulée que ces e-mails étaient effectivement factices. Elle rassure également en déclarant que le matériel utilisé à ces actes de malveillance a vite été mis hors service après détection de l’anomalie. Elle poursuit en incitant à la méfiance envers les expéditeurs inconnus et en invitant au signalement de toute inactivité suspecte auprès du ic3.gov ou du cisa.gov.
Le lendemain même de la cyberattaque, le communiqué du bureau fédéral justifie la faille par une mauvaise configuration logicielle ayant momentanément permis à l’acteur en cause d’utiliser le Law Enforcement Enterprise Portal (LEEP) pour générer ses faux courriels. Rappelons que le LEEP constitue l’infrastructure informatique du FBI lui servant à communiquer avec les forces de l’ordre au niveau national et au niveau local.
Après détection de la brèche, le logiciel fut rapidement corrigé quelques heures après l’incident.
Un suspect déjà dans les collimateurs ?
Pour faire face à cette tentative de discréditation, Vinny Troia confie à Bleeping Computer son hypothèse sur un suspect potentiel : un certain dénommé « pompomourin ». Selon ce chercheur en sécurité, cette personne aurait déjà instigué divers incidents ayant pour but de nuire à sa réputation. Cette allégation fut étayée au fait que ce fameux suspect ait contacté Vinny Troia quelques heures avant la cyberattaque pour l’avertir de son probable mouvement par le message « enjoy » signifiant « appréciez ».
