FBI 이메일 시스템 해킹한 공격자들, 스팸 메일 유포해

2021년 11월 13일, FBI는 자사의 fbi.gov 도메인과 IP가 사이버 범죄 조사에 관한 수천 건의 스팸 메일을 유포하는 데 사용되었다고 발표하였습니다.

[그림 1] FBI 이메일 시스템을 통해 전송된 스팸 메일 (출처 : Spamhaus)

“Urgent: Threat actor in systems”라는 제목으로 발송된 가짜 사이버 공격에 대해 경고하는 수만 개의 스팸 메일은 2021년 11월 12일 늦은 저녁부터 확인되었습니다. 메일에서는 수신자의 네트워크에서 위협 행위자(Vinny Troia)가 탐지되어 데이터를 도난당했다고 경고하였습니다.

스팸 메일의 헤더를 분석한 결과, FBI의 IP 주소로부터 전송된 것으로 나타났습니다.

이메일 주소 : eims@ic.fbi.gov IP : 153.31.119.142 (mx-east.ic.fbi.gov)

 

DKIM(DomainKeys Identified Mail)를 이용하여 FBI의 서버에서 전송된 이메일이라는 것이 인증되었습니다. 또한, 이메일 헤더에서 FBI 내부 서버를 확인할 수 있습니다.

dap00025.str0.eims.cjis wvadc-sns-pmo003-sns.enet.cjis dap00040.str0.eims.cjis

 

[그림 3] 스팸 메일 헤더 분석 (출처 : Brian Krebs 트위터)

FBI의 이메일 시스템에 대한 불법적인 접근은 LEEP(Law Enforcement Enterprise Portal) 포털 사이트에서 시작되었습니다.

[그림 4] FBI의 Law Enforcement Enterprise Portal (LEEP)

2021년 11월 13일 오전까지, LEEP 포털을 통해 누구나 계정 신청을 할 수 있었습니다.

[그림 5] 새 계정을 등록하기 위한 단계별 지침 (출처 : 미국 법무부 DOJ)

새 계정을 등록하기 위해 가입자는 Microsoft의 Internet Explorer로 사이트를 방문해 가입자의 개인 정보, 연락처 정보, 조직 정보 등의 정보를 입력해야 합니다.

가입자가 eims@ic.fbi.gov에서 일회용 패스워드로 이메일을 인증하는 과정에서 FBI의 자체 웹사이트는 웹 페이지의 HTML 코드에 일회용 패스워드를 노출합니다.

[그림 6] 웹 페이지의 HTML 코드에 노출되는 일회용 패스워드와 연락처 세부 정보(출처 : KrebOnSecurity.com)

스크립트를 사용하여 공격자는 메시지의 ‘제목’ 필드와 ‘본문’ 필드에서 매개변수를 변경함으로써 eims@ic.fbi.gov에서 직접 이메일을 자동화하여 전송할 수 있습니다.

[그림 7] FBI 이메일 시스템에서의 매개변수 변경 (출처 : krebsonsecurity.com)

유포된 스팸 메일은 “당신의 네트워크가 침해됐다”는 내용과 함께 침해자가 Vinny Troia라고 지목하고 있습니다. Vinny Troia는 보안 업체의 연구 책임자로, 이 소식을 듣고 공격자가 pompomourin이라고 주장했습니다.

2021년 11월 14일, FBI는 자사의 소프트웨어 취약점을 신속히 파악하고 수신자들에게 스팸 메일을 무시하라고 경고하였으며, 네트워크의 무결성을 확인했다고 발표하였습니다.

[그림 8] FBI 최신 발표 (출처 : FBI 트위터)

출처 :

https://www.bleepingcomputer.com/news/security/fbi-system-hacked-to-email-urgent-warning-about-fake-cyberattacks/

https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/

https://www.justice.gov/tribal/page/file/1260671/download

https://www.fbi.gov/news/pressrel/press-releases/fbi-statement-on-incident-involving-fake-emails

 

MIR Team