W zeszłym tygodniu dotarła do nas interesująca informacja. Podobno pewien haker, stosując triki socjotechniczne, udawał dyrektora generalnego instytucji finansowej, a teraz twierdzi, iż uzyskał tym sposobem dostęp do bazy danych InfraGard. To ponad 80 000 rekordów programu informacyjnego prowadzonego przez FBI, który udostępnia poufne informacje na temat bezpieczeństwa narodowego i zagrożeń cyberbezpieczeństwa urzędnikom publicznym i sektorowi prywatnemu zarządzającym infrastrukturą krytyczną USA.
O socjotechnice dowiesz się więcej z naszych artykułów tutaj.
W ubiegły weekend na forum internetowym popularnym wśród cyberprzestępców haker zamieścił próbki, które, jak twierdzi, pochodzą z rzeczonej bazy danych. Poinformował też, iż zażądał 50 000 USD za całą zawartość bazy.
Przestępca opowiedział o przeprowadzonej akcji niezależnemu dziennikarzowi zajmującemu się cyberbezpieczeństwem, Brianowi Krebsowi. Ten ujawnił tę historię. W swoim wpisie określa proces weryfikacji FBI jako „zaskakująco luźny”. FBI odmówiło komentarza, Krebs poinformował natomiast, iż – jak go powiadomiono – agencja jest świadoma istnienia potencjalnego fałszywego konta i bada sprawę.
Członkostwo w InfraGard to prawdziwe „Who is who” w amerykańskiej infrastrukturze krytycznej. Baza danych obejmuje: liderów biznesu, specjalistów IT, dane wojskowe, stanowe i lokalne organy ścigania oraz urzędników państwowych zaangażowanych w nadzorowanie bezpieczeństwa praktycznie wszystkiego. Od sieci elektrycznej i transportu po opiekę zdrowotną, rurociągi, reaktory jądrowe, przemysł obronny, tamy i elektrownie wodne oraz usługi finansowe. Założona w 1996 roku, jest największą publiczno-prywatną spółką FBI, z lokalnymi powiązaniami ze wszystkimi oddziałami terenowymi. Regularnie udostępnia ostrzeżenia o zagrożeniach z FBI i Departamentu Bezpieczeństwa Wewnętrznego oraz służy jako zamknięty portal społecznościowy dla wybranych osób.
Baza zawiera nazwiska, przynależności i informacje kontaktowe dziesiątek tysięcy użytkowników. Krebs zgłosił kradzież po raz pierwszy we wtorek 13 grudnia.
W poście na stronie BreachForums haker występujący pod nickiem USDoD napisał, iż tylko 47 000 kont na forum – nieco ponad połowa – zawierało unikalne adresy mailowe. Podał również, iż dane nie obejmowały numerów ubezpieczenia społecznego ani dat urodzenia. Chociaż w bazie istniały pola przeznaczone na te informacje, świadomi bezpieczeństwa użytkownicy InfraGard pozostawili je puste. Haker przekazał jednak Krebsowi, iż wysyłał wiadomości do członków InfraGard, podając się za dyrektora generalnego instytucji finansowej, aby spróbować uzyskać więcej danych osobowych, które mogłyby zostać wykorzystane do celów przestępczych.
Informacje zweryfikowała Associated Press. Skontaktowała się z hakerem na stronie BreachForums poprzez wiadomość prywatną. Przestępca nie chciał ujawnić, czy znalazł kupca na skradzione akta, ani odpowiedzieć na inne pytania. Napisał za to, iż artykuł Krebsa „był w stu procentach dokładny”.
FBI nie wyjaśniło, jaki sposób zastosował haker, by zatwierdzić swoje członkostwo w InfraGard. W swoim artykule Krebs poinformował, iż podczas całego procesu autoryzacji w InfraGard w listopadzie cyberprzestępca podał kontaktowy adres e-mail kontrolowany przez grupę, a także prawdziwy numer telefonu komórkowego prezesa, pod którego się podszywał.
Według Krebsa haker powiedział, iż InfraGard zatwierdził aplikację na początku grudnia i iż miał możliwość użycia wiadomości e-mail, aby otrzymać jednorazowy kod uwierzytelniający.
Haker stwierdził też, iż po wejściu do środka bazy informacje można było łatwo uzyskać dzięki prostego skryptu.