Кребс з питань безпеки

Поглиблені новини та розслідування безпеки

beltway

Відстеження спаму: таблетки для схуднення від бандитів Beltway

Читання небажаних спам-повідомлень - це не зовсім моя ідея приємного проведення часу, але іноді можна отримати задоволення, коли знайдете хвилинку, щоб перевірити, хто насправді надіслав електронний лист. Ось проста історія про те, як нещодавно спам електронною поштою рекламу відомих людей "таблетками для схуднення" прослідковувались до підрядника оборони у Вашингтоні, округ Колумбія, який будує тактичні системи зв'язку для військових та розвідувальних спільнот США.

Ваша середня електронна пошта може містити велику кількість інформації про системи, що використовуються для обробки небажаної електронної пошти. Якщо вам пощастить, це може навіть запропонувати інформацію про організацію, яка володіє мережевими ресурсами (комп’ютерами, мобільними пристроями), які були зламані для використання під час надсилання або передачі небажаних повідомлень.

Раніше цього місяця анти-спам-активіст і експерт Рон Гільмет виявив, що переглядає "заголовки" повідомлення про спам, яке викликало цікаве попередження. “Заголовки” - це зазвичай невидимі деталі адресації та маршрутизації, які супроводжують кожне повідомлення. Зазвичай їх не бачать, бо вони приховані, якщо ви не знаєте, як і де їх шукати.

Візьмемо для прикладу заголовки цього електронного листа - від 12 квітня 2017 року. Для непосвячених заголовки електронних листів можуть здатися величезним звалищем інформації. Але нас насправді цікавить лише декілька речей (фактична електронна адреса Гільмета була змінена на „ronsdomain.example.com“ у незмінених заголовках спам-повідомлень нижче):

У цьому випадку адреса зворотного зв'язку є [email protected]. Інший біт, на який слід звернути увагу, - це адреса Інтернету та домен, на який посилається четвертий рядок, після “Отримано”, який говорить: “з host.psttsxserver.com (host.tracesystems.com [72.52.186.80])”

Gtacs.com належить до порталу команди Trace Systems GTACS, веб-сайту, який пояснює, що GTACS є частиною команди Trace Systems, яка укладає контракти на надання «повного спектру тактичних систем зв'язку, системної інженерії, інтеграції, встановлення та технічної підтримки для Міністерство оборони (Міністерство оборони), Міністерство національної безпеки (DHS) та замовники розвідувального співтовариства ". Тут компанія перелічує деяких своїх клієнтів.

Домашня сторінка Trace Systems.

Як Gtacs.com, так і tracesystems.com заявляють, що компанії "надають експертизу в галузі кібербезпеки та розвідки на підтримку інтересів національної безпеки:" GTACS - це контрактний транспортний засіб, який буде використовуватися різними замовниками в рамках систем, обладнання, послуг та послуг C3T. дані », - йдеться на сайті компанії. Частина “C3T” - це військова мова, що означає “Командування, управління, зв’язок та тактика”.

Записи пасивної системи доменних імен (DNS), які веде Farsight Security для інтернет-адреси, зазначеної в заголовках спаму - 72.52.186.80 - показують, що gtacs.com свого часу знаходився на тій самій Інтернет-адресі разом із багатьма доменами та субдоменами, пов’язаними з Trace Systems.

Це правда, що деяку інформацію заголовка електронного листа можна сфальсифікувати. Наприклад, спамери та їх інструменти можуть сфальсифікувати електронну адресу в рядку повідомлення "з:", а також у частині місису "відповісти на:". Але, здається, жоден з цих підроблених фрагментів аптечного спаму не був підроблений.

Домашня сторінка Gtacs.com.

Я переслав це спам-повідомлення назад на [email protected], очевидного відправника. Не отримавши відповіді від Дена через кілька днів, я занепокоївся тим, що кіберзлочинці можуть ходити по мережах цього підрядника оборони, який здійснює зв'язок для американських військових. Невмілі та не дуже яскраві спамери, але напевно зловмисники. Тож я переслав спам-повідомлення контакту Linkedin у Trace Systems, який виконує підрядні роботи щодо реагування на інциденти для компанії.

Моє джерело в Linkedin направило запит "керівнику завдань" у Trace, який повідомив, що йому повідомили, що gtacs.com не є доменом Trace Systems. Шукаючи більше інформації перед багатьма різними фактами, які підтверджують інший висновок, я переніс запит на Метью Содано, віце-президент та головний інформаційний директор Trace Systems Inc.

"Домен і веб-сайт, про які йде мова, розміщуються та підтримуються для нас зовнішніми провайдерами", - сказав Содано. “Ми попередили їх про це, і вони проводять розслідування. Обліковий запис вимкнено ".

Імовірно, "зовнішнім постачальником" компанії був Технології Power Storm, компанія, яка, очевидно, володіє серверами, які надсилали несанкціонований спам з [email protected]. Power Storm не повертав повідомлень з проханням прокоментувати.

За словами Гільметта, ким би не був Ден, чи не був він на Gtacs.com, його рахунок скомпрометовано деякими досить невмілими спамерами, які, очевидно, не знали або не хвилювали, що вони перебувають у американському підряднику з оборони, який спеціалізується на спеціальному військовому рівні комунікації. Натомість зловмисники вирішили використовувати ці системи таким чином, що майже гарантовано привертають увагу до скомпрометованого облікового запису та зламаних серверів, що використовуються для пересилання небажаної електронної пошти.

«Деякий… підрядник, який працює у урядовій/військовій компанії-підряднику з кібербезпеки у Відні, штат Вірджинія, очевидно, втратив свої вихідні дані електронної пошти (які, мабуть, корисні також для віддаленого входу) до спамера, який, я вважаю, на основі наявних Докази, швидше за все, знаходяться в Румунії », - написав Гільметте в електронному листі до цього автора.

Гільметт сказав KrebsOnSecurity, що він відстежує саме цього спамера таблеток з вересня 2015 р. На запитання, чому він настільки впевнений, що той самий хлопець відповідає за цей та інші конкретні спами, Гільметт поділився, що спамер складає свої спам-повідомлення з тим самим контрольним HTML-підписом. в гіперпосиланні, що формує основну частину повідомлення: Надзвичайно стара версія Microsoft Office.

Цей спамер, мабуть, не заперечував проти розсилки списків обговорень в Інтернеті. Наприклад, він навіть надіслав одну зі своїх шахрайських дієтичних таблеток до списку, який веде Американський реєстр Інтернет-номерів (ARIN), регіональний Інтернет-реєстр Канади та США. Список ARIN очистив HTML-файл, який спамер прикріпив до повідомлення. Натискання включеного посилання для перегляду очищеного вкладення, надісланого до списку ARIN, відкриває цю сторінку. І якщо ви заглянете вгорі цієї сторінки, ви побачите щось із написом:

"Звичайно, є чимала кількість звичайних людей, які також все ще використовують цей старовинний MS Office для створення електронних листів, але, наскільки я можу зрозуміти, це єдиний великий спамер, який зараз цим користується". - сказав Гільмет. «Я отримав десятки і десятки спаму, все від того самого хлопця, який триває приблизно 18 місяців. Усі вони мають однаковий стиль, і всі вони були написані з “/ office/2004/12 /”.

Гільметт стверджує, що ті самі спамери, які надсилали цей древній спам Office від підрядників оборони, також розповсюджували спам з компрометованих пристроїв "Інтернету речей", таких як зламана система відеоконференцій, що базується в Китаї. Гільметт каже, що спамер, як відомо, надсилає шкідливі посилання в електронній пошті, які використовують шкідливі експлойти JavaScript, щоб заблокувати облікові дані, що зберігаються на скомпрометованій машині, і він здогадується, що [email protected], ймовірно, відкрив одне із заблокованих посилань JavaScript.

"Коли і якщо він знаходить такий, він використовує ці вкрадені дані, щоб розсилати ще більше спаму через поштовий сервер" законної "компанії", - сказав Гільмет. "І оскільки спам зараз виходить із" законних "поштових серверів, що належать" законним "компаніям, їх ніколи не блокує Спамхаус або будь-які інші чорні списки".

Ми можемо лише сподіватися, що спамер, який здійснив це, ніколи не усвідомлює ймовірної цінності цього конкретного набору облікових даних для входу, який йому вдалося відмінити, серед багатьох інших, сказав Гільмет.

«Якби він усвідомив, що у нього в руках, я впевнений, що росіяни та/або китайці були б із задоволенням викупити у нього ці документи, можливо, відшкодувавши йому більше за ту суму, яку він міг би сподіватися внести роки спаму ".

Це не вперше, коли невелика електронна пошта, можливо, створює велику проблему для підрядника з питань кібербезпеки в районі Вашингтона. Останній місяць, Безпека точки захисту - який надає послуги з кіберзамовлень Центру оперативних служб безпеки для DHS Імміграція та митне забезпечення Підрозділ (ICE) - попередив близько 200-300 поточних та колишніх співробітників про те, що їх податкова інформація W-2 була передана шахраям після того, як працівник потрапив на фішинг-шахрайство, яке підробило боса.

Хочете дізнатися більше про те, як знаходити та читати заголовки електронних листів? На цьому веб-сайті є зручна довідка, яка показує, як розкрити заголовки у понад двох десятках різних програм електронної пошти, включаючи Outlook, Yahoo !, Hotmail та Gmail. Цей буквар від HowToGeek.com пояснює, яку інформацію можна знайти в заголовках електронної пошти та що всі вони означають.

Цей запис був опублікований в середу, 19 квітня 2017 року, о 14:56 та поданий під Іншим. Ви можете слідкувати за будь-якими коментарями до цього запису через стрічку RSS 2.0. Наразі коментарі та пінги закриті.