Știri și investigații de securitate aprofundate

beltway

Urmărirea spamului: pastile dietetice de la bandiții Beltway

Citirea mesajelor spam nedorite nu este tocmai ideea mea despre un moment bun, dar uneori te poți distra când iei un moment pentru a verifica cine a trimis cu adevărat e-mailul. Iată povestea simplă a modului în care un recent mesaj publicitar de spam, „pastile dietetice”, a fost trasat de la un contractor de apărare din zona Washington, D.C., care construiește sisteme de comunicații tactice pentru SUA. comunități militare și de informații.

E-mailul dvs. mediu de spam poate conține o mulțime de informații despre sistemele utilizate pentru a exploda e-mailurile nedorite. Dacă aveți noroc, poate oferi chiar informații despre organizația care deține resursele conectate în rețea (computere, dispozitive mobile) care au fost piratate pentru a fi utilizate pentru trimiterea sau retransmiterea mesajelor nedorite.

La începutul acestei luni, activistul și expertul anti-spam Ron Guilmette s-a trezit căutând peste „anteturi” un mesaj de spam care a declanșat o alertă curioasă. „Anteturile” sunt detaliile de adresare și rutare de obicei nevăzute care însoțesc fiecare mesaj. În general, sunt nevăzute, deoarece sunt ascunse dacă nu știi cum și unde să le cauți.

Să luăm antetele din acest e-mail special - din 12 aprilie 2017 - ca exemplu. Pentru cei neinițiați, anteturile de e-mail pot părea o grămadă copleșitoare de informații. Dar într-adevăr sunt doar câteva lucruri care ne interesează aici (adresa de e-mail reală a Guilmette a fost modificată în „ronsdomain.example.com” în antetele altfel nealterate ale mesajelor spam de mai jos):

În acest caz, adresa de returnare este [email protected]. Celălalt bit de observat este adresa de Internet și domeniul la care se face referire în a patra linie, după „Primit”, care scrie: „de la host.psttsxserver.com (host.tracesystems.com [72.52.186.80])”

Gtacs.com aparține Trace Systems GTACS Team Portal, un site Web care explică faptul că GTACS face parte din Trace Systems Team, care contractează pentru a furniza „o gamă completă de sisteme de comunicații tactice, inginerie sisteme, integrare, instalare și servicii de asistență tehnică către Departamentul Apărării (DoD), Departamentul pentru Securitate Internă (DHS) și clienții Comunității de informații. ” Compania listează aici unii dintre clienții săi.

Pagina principală a Trace Systems.

Atât Gtacs.com, cât și tracesystems.com afirmă că companiile „oferă expertiză în securitate cibernetică și informații în sprijinul intereselor de securitate națională:„ GTACS este un vehicul contractual care va fi utilizat de o varietate de clienți din sfera sistemelor, echipamentelor, serviciilor și serviciilor C3T. date ”, spune site-ul companiei. Partea „C3T” este o vorbă militară pentru „Comandă, control, comunicații și tactică”.

Înregistrările sistemului de nume de domeniu pasiv (DNS) păstrate de Farsight Security pentru adresa de Internet listată în antetele de spam - 72.52.186.80 - arată că gtacs.com se afla la un moment dat pe aceeași adresă de Internet, împreună cu multe domenii și subdomenii asociate cu sistemele de urmărire.

Este adevărat că unele informații despre antetul unui e-mail pot fi falsificate. De exemplu, spammerii și instrumentele lor pot falsifica adresa de e-mail în linia „de la:” a mesajului, precum și în porțiunea „Răspuns la:” a misivei. Dar niciuna dintre ele nu pare să fi fost falsificată în această piesă specială de spam în farmacii.

Pagina de pornire Gtacs.com.

Am redirecționat acest mesaj spam către [email protected], aparent expeditor. După ce nu am primit niciun răspuns de la Dan, după câteva zile, am devenit îngrijorat de faptul că infractorii cibernetici ar putea fi înrădăcinați în interiorul rețelelor acestui contractor de apărare care face comunicări pentru SUA. militar. Spammeri stângaci și nu teribil de strălucitori, dar intruși, cu siguranță. Așa că am redirecționat mesajul spam către un contact Linkedin de la Trace Systems, care efectuează lucrări de contracte de răspuns la incidente pentru companie.

Sursa mea Linkedin a trimis ancheta unui „responsabil de sarcină” la Trace, care a spus că a fost informat că gtacs.com nu este un domeniu Trace Systems. Căutând mai multe informații în fața multor fapte diferite care susțin o concluzie diferită, am extins ancheta Matthew Sodano, un vicepreședinte și ofițer șef de informații la Trace Systems Inc.

„Domeniul și site-ul în cauză sunt găzduite și întreținute pentru noi de un furnizor extern”, a spus Sodano. „Le-am alertat cu privire la această problemă și investighează. Contul a fost dezactivat. ”

Probabil că „furnizorul extern” al companiei a fost Tehnologii Power Storm, compania care aparent deține serverele care au trimis spamul neautorizat de la [email protected]. Power Storm nu a returnat mesaje în căutarea de comentarii.

Potrivit lui Guilmette, oricine Dan este sau a fost la Gtacs.com, el și-a compromis contul de către unii spammeri destul de inepți, care, evident, nu știau sau nu le păsau că se aflau într-un SUA. contractor de apărare specializat în comunicații personalizate de nivel militar. În schimb, intrușii au ales să folosească aceste sisteme într-un mod aproape garantat pentru a atrage atenția asupra contului compromis și a serverelor piratate utilizate pentru a redirecționa e-mailul nedorit.

„Unii ... antreprenori care lucrează pentru o Viena, Virginia. Guvernul/compania militară cu contract de „securitate cibernetică” și-a pierdut, aparent, acreditările de e-mail de ieșire (care sunt probabil utile și pentru conectarea la distanță) la un spammer care, cred, pe baza dovezilor disponibile, este cel mai probabil localizat în România ”, a scris Guilmette într-un e-mail către acest autor.

Guilmette a declarat pentru KrebsOnSecurity că urmărește acest spammer special pentru pilule din sept. 2015. Întrebat de ce este atât de sigur că același tip este responsabil pentru acest lucru și pentru alți spam-uri specifici, Guilmette a împărtășit faptul că spammerul își compune mesajele spam cu aceeași „semnătură” HTML indicatoare în hyperlinkul care formează cea mai mare parte a mesajului: versiunea Microsoft Office.

Aparent, acestui spammer nu i-a deranjat spammingul listelor de discuții bazate pe web. De exemplu, el a trimis chiar și una dintre înșelăciunile sale cu pastile dietetice pe o listă menținută de Registrul American pentru Numere de Internet (ARIN), registrul de Internet regional pentru Canada și Statele Unite. Lista ARIN a eliminat fișierul HTML pe care spammerul l-a atașat la mesaj. Dacă faceți clic pe linkul inclus pentru a vizualiza atașamentul curatat trimis la lista ARIN, apare această pagină. Și dacă vă uitați în partea de sus a paginii, veți vedea ceva care spune:

"Desigur, există un număr destul de mare de oameni obișnuiți care folosesc și acest vechi MS Office pentru a compune e-mailuri, dar, din câte îmi dau seama, acesta este singurul spammer care folosește acest lucru în acest moment", Spuse Guilmette. „Am zeci și zeci de spam, toți de la același tip, care se întind înapoi cu aproximativ 18 luni. Toate au același stil și toate au fost compuse cu „/ office/2004/12 /”.

Guilmette susține că aceiași spammeri care trimiteau spamul Office vechi de la contractanții de apărare au trimis spam și de pe dispozitivele „Internet of Things” compromise, cum ar fi un sistem de conferință video piratat cu sediul în China. Guilmette spune că spammerul a fost cunoscut pentru a trimite link-uri rău intenționate în e-mail care folosesc exploatări JavaScript rău intenționate pentru a obține acreditările stocate pe mașina compromisă și ghicește că [email protected] a deschis probabil unul dintre linkurile JavaScript captivate.

„Când și dacă găsește vreunul, folosește acele acreditări furate pentru a trimite încă mai mult spam prin serverul de e-mail al companiei„ legitime ”, a spus Guilmette. „Și pentru că spam-urile ies acum din servere de e-mail„ legit ”aparținând companiilor„ legit ”, nu sunt niciodată blocate de Spamhaus sau de alte liste negre.”

Nu putem decât să sperăm că spammerul care a reușit acest lucru să nu-și dea seama niciodată de valoarea probabilă a acestui set specific de acreditări de autentificare pe care a reușit să le facă, printre multe altele, a spus Guilmette.

„Dacă și-ar da seama ce are în mână, sunt sigur că rușii și/sau chinezii ar fi mai mult decât fericiți să cumpere acele acreditări de la el, rambursându-i, probabil, mai mult decât pentru orice sumă în care ar putea spera să facă. ani de spam. ”

Nu este prima dată când un e-mail mic poate crea o mare problemă pentru un contractor de apărare cibernetică din zona Washingtonului. Luna trecuta, Securitatea punctului de apărare - care oferă servicii de contractare cibernetică centrului de operațiuni de securitate pentru DHS Imigrarea și executarea vamală Divizia (ICE) - a alertat aproximativ 200-300 de angajați actuali și foști că informațiile lor fiscale W-2 au fost transmise escrocilor după ce un angajat a căzut pentru o înșelătorie de phishing care a falsificat șeful.

Doriți să aflați mai multe despre cum să găsiți și să citiți antetele de e-mail? Acest site are o referință la îndemână care vă arată cum să dezvăluiți anteturi pe mai mult de două duzini de programe de e-mail diferite, inclusiv Outlook, Yahoo!, Hotmail și Gmail. Acest exemplu din HowToGeek.com explică ce tipuri de informații puteți găsi în antetele e-mailurilor și ce înseamnă toate acestea.

Această intrare a fost postată miercuri, 19 aprilie 2017 la ora 14:56 și este depusă în secțiunea Altele. Puteți urmări orice comentariu la această intrare prin fluxul RSS 2.0. Atât comentariile, cât și ping-urile sunt închise în prezent.