12月10日,一个包含87,000多名美国联邦调查局(FBI)审查信息共享网络-InfraGard成员联系方式的数据库被发布在BreachedForums暗网论坛。与此同时,幕后肇事的黑客正在通过InfraGard在线门户直接与成员交流——使用一个新账户,假冒金融行业CEO的身份,该身份是经过FBI审查的。相对较新的网络犯罪论坛Breached推出的这个重磅炸弹的新销售项目引起了安全研究人员的关注。黑客还提供了样本数据来验证他们的说法,其中包含InfraGard成员的各种个人信息,包括:全名、电子邮件地址、就业详情、就业行业、社交媒体USERID等。

InfraGard是美国联邦调查局(FBI)运行的一个项目,旨在与私营部门建立网络和物理威胁信息共享伙伴关系,FBI的InfraGard计划应该是经过审查的名人录,其中涉及管理国家大部分关键基础设施(包括饮用水和电力公用事业、通信和金融服务公司、运输公司)的公司和制造公司、医疗保健供应商和核能公司的网络和物理安全的私营部门关键人物。

InfraGard成立于1996 年,是FBI国家基础设施保护中心 (NIPC) 和信息系统安全协会 (ISSA) 的联合倡议。InfraGard提供对安全电子邮件系统、安全数据存储平台、基于网络的漏洞评估工具、密码管理解决方案和其他安全服务的访问。此外,InfraGard还提供有关网络安全最佳实践和新兴威胁等主题的教育研讨会。这些研讨会向所有部门的成员开放,帮助他们了解当前的安全趋势。InfraGard还提供资源,用于在潜在的网络犯罪受害者或可疑活动成为重大问题之前识别它们。

“InfraGard将关键基础设施所有者、运营商和利益相关者与FBI联系起来,以提供有关安全威胁和风险的教育、网络和信息共享,”FBI的InfraGard情况说明书写道。

KrebsOnSecurity联系了InfraGard数据库的卖家,一位Breached论坛成员,用户名是“USDoD”,头像是美国国防部的印章。

“USDoD”关于Breached论坛的InfraGard销售线索。

“USDoD”表示,他们通过使用极有可能获得InfraGard会员资格的公司首席执行官的姓名、社会安全号码、出生日期和其他个人详细信息申请一个新帐户,从而获得了对FBI InfraGard系统的访问权限。

这位首席执行官——目前是一家对大多数美国人的信用有直接影响的大型美国金融公司的负责人——没有回应置评请求。

“USDoD”告诉KrebsOnSecurity,他们的虚假申请是在11月以首席执行官的名义提交的,该申请包括他们控制的联系电子邮件地址——以及首席执行官的真实手机号码。

“当你注册时,他们说要获得批准至少需要三个月,”美“USDoD”说。“我没想到会被批准[d]。”

但“USDoD”表示,在12月初,他们以CEO名义的电子邮件地址收到了一封回复,称申请已获批准(见右侧的编辑截图)。虽然FBI的InfraGard系统默认需要多重身份验证,但用户可以选择通过短信或电子邮件接收一次性代码。

“如果只是手机问题,我的处境就会很糟糕,”“USDoD”说。“因为我使用了我正在冒充的人的电话。”

“USDoD”表示,InfraGard用户数据可通过应用程序编程接口(API)轻松获取,该接口内置于网站的几个关键组件中,可帮助InfraGard 成员相互连接和通信。

“USDoD”表示,在他们的InfraGard会员资格获得批准后,他们要求一位朋友用Python编写脚本来查询该API并检索所有可用的 InfraGard用户数据。

“InfraGard是面向知名人士的社交媒体情报中心,”“USDoD”表示。“他们甚至有论坛来讨论事情。”

KrebsOnSecurity与FBI分享了一些可能有助于隔离冒名顶替者InfraGard帐户的屏幕截图和其他数据,但该机构拒绝就此事发表评论。

为了证明截至周二(当地时间12月13日)晚上发布时间他们仍然可以访问InfraGard,“USDoD”通过InfraGard的消息系统向一名 InfraGard成员发送了一条直接说明,该成员的个人详细信息最初作为预告片发布在数据库销售项目上。

这位InfraGard成员是美国一家大型科技公司的安全负责人,他确认收到了“USDoD”的消息,但要求对此事保持匿名。

“USDoD”承认,他们对InfraGard数据库的50,000美元要价可能有点高,因为这是一个相当基本的名单,这些人已经非常注重安全。此外,只有大约一半的用户帐户包含电子邮件地址,而大多数其他数据库字段(如社会安全号码和出生日期)完全是空的。

“我不认为有人会支付那个价格,但我必须[定价]高一点才能[协商]我想要的价格,”他们解释道。

尽管InfraGard渗透所暴露的数据可能很少,但用户数据可能并不是入侵者真正的最终目标。

“USDoD”表示,他们希望冒名顶替的账户能持续足够长的时间,让他们能够以CEO的身份使用InfraGuard消息门户向其他高管发送直接消息。“USDoD”分享了以下经过编辑的屏幕截图,他们声称这是一条这样的消息,尽管他们没有提供更多相关信息。

“USDoD”共享的屏幕截图显示了FBI InfraGard系统中的消息线程

“USDoD”在他们的销售线索中表示,交易的担保人将是网络犯罪论坛Breached的管理员Pompompurin。通过论坛管理员的托管服务购买数据库,潜在买家理论上可以避免上当受骗,并确保在资金交换之前交易双方都满意地完成。

多年来,Pompompurin一直是FBI的眼中钉。他们的Breached论坛被广泛认为是RaidForums的第二个化身,RaidForums是一个非常相似的英语网络犯罪论坛,于4月被美国司法部关闭。在被FBI渗透之前,RaidForums出售了超过100亿条在世界上一些最大的数据泄露事件中被盗的消费者记录。

2021年11月,KrebsOnSecurity详细介绍了Pompompurin如何滥用FBI在线门户中的一个漏洞,该门户旨在与州和地方执法机构共享信息,以及该访问权限如何被用来爆出数以千计的恶作剧电子邮件消息——所有这些消息都是从FBI电子邮件和互联网地址。

后续进展及影响持续跟踪中!

参考资源

1、https://krebsonsecurity.com/2022/12/fbis-vetted-info-sharing-network-infragard-hacked/?v=1

2、https://www.hackread.com/fbi-infragard-hacked-data-sold/

3、https://en.wikipedia.org/wiki/InfraGard

4、https://www.infragard.org/Application/Account/Login

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。