Federal Soruşturma Bürosu (FBI) e-posta sunucuları, alıcıların ağının ihlal edildiğine ve verilerin çalındığına dair FBI uyarılarını taklit eden spam e-postaları dağıtmak için saldırıya uğradı.
E-postalar, Vinny Troia olarak tanımladıkları, bilinen gelişmiş bir tehdit aktöründen geliyor ve “sofistike zincirleme saldırı” hakkında sanki uyarıyormuş gibi yaparken asıl saldırıyı yaratıyor.
Mesajlar , FBI’ın Emniyet Teşkilatı Kurumsal Portalı’ndan (LEEP) gelen mevcut bir e-posta adresinden – [email protected] – geldi ve konu kısmında “Acil: Sistemlerdeki tehdit aktörü” yazıyordu. Tüm e-postaların FBI’ın 153.31.119.142 (mx-east-ic.fbi.gov) IP adresinden geldiği görüldü.
Mesaj, alıcıya networkde bir tehdit unsurunun tespit edildiği ve cihazlardan veri çaldığı konusunda uyarıyor.
Olayı Spam ve ilişkili siber tehditleri (kimlik avı, botnetler, kötü amaçlı yazılımlar) izleyen uluslararası bir sivil toplum kuruluşu olan Spamhaus raporladı. Bu iletilerin 2 ayrı dalga halinde yayıldıklarını farkettiler.
Kar amacı gütmeyen kuruluş bugün attığı bir tweette , alıcıların Amerikan İnternet Numaraları Kayıt Defteri (ARIN) veri tabanından alındığını söyledi.
FBI, e-postaların içeriğinin sahte olduğunu ve sorunu çözmek için çalıştıklarını söylüyor ama ilginç olan şey şu; Vinny Troia deep web üzerinde çalışan Shadowbyte’nin kurucusu. Onun isminin kullanılmasını, uzmanlar “itibarsızlaştırmaya çalışıyorlar” şeklinde yorumluyorlar. RaidForums bilgisayar korsanlığı topluluğunun üyelerinin, Troia ile uzun süredir devam eden tartışmalarına işaret ediyorlar.
Bu spam kampanyası hakkında tweet atan Vinny Troia , saldırının muhtemel yazarı olarak “pompoourin” olarak bilinen birine işaret etti :