10 Aralık 2022’de nispeten yeni olan siber suç forumu ihlal bomba gibi yeni bir satış dizisini öne çıkardı: On binlerce InfraGard üyesinin adlarını ve iletişim bilgilerini içeren InfraGard kullanıcı veritabanı.
FBI’ın InfraGard programının, içme suyu ve elektrik hizmetleri, iletişim ve finansal hizmetler firmaları, ulaşım dahil olmak üzere ülkenin kritik altyapılarının çoğunu yöneten şirketlerde hem siber hem de fiziksel güvenliği içeren özel sektör rollerindeki kilit kişilerin kim kim olduğunu incelemiş olması gerekiyor. ve üretim şirketleri, sağlık hizmeti sağlayıcıları ve nükleer enerji firmaları.
FBI’ın InfraGard bilgi notunda “InfraGard, güvenlik tehditleri ve riskleri hakkında eğitim, ağ oluşturma ve bilgi paylaşımı sağlamak için kritik altyapı sahiplerini, operatörleri ve paydaşları FBI ile birleştirir.”
KrebsOnSecurity, “ tanıtıcısını kullanan bir Breached forum üyesi olan InfraGard veritabanının satıcısıyla temasa geçti.USDoD” ve avatarı kimin mührüdür? ABD Savunma Bakanlığı.
USDoD, InfraGard üyeliği alması muhtemel bir şirketteki bir CEO’nun adını, Sosyal Güvenlik Numarasını, doğum tarihini ve diğer kişisel bilgilerini kullanarak yeni bir hesap başvurusunda bulunarak FBI’ın InfraGard sistemine erişim sağladıklarını söyledi.
Şu anda çoğu Amerikalının kredi itibarı üzerinde doğrudan etkisi olan büyük bir ABD finans kuruluşunun başkanı olan söz konusu CEO, yorum taleplerine yanıt vermedi.
USDoD, KrebsOnSecurity’ye sahte başvurularının Kasım ayında CEO’nun adına yapıldığını ve başvurunun kontrol ettikleri bir iletişim e-posta adresini ve aynı zamanda CEO’nun gerçek cep telefonu numarasını içerdiğini söyledi.
USDoD, “Kayıt olduğunuzda, onaylanmanın en az üç ay sürebileceğini söylediler” dedi. “Onaylanmam beklenmiyordu[d]”
Ancak USDoD, Aralık ayı başlarında CEO adına e-posta adreslerine, başvurunun onaylandığını belirten bir yanıt aldığını söyledi (sağdaki düzeltilmiş ekran görüntüsüne bakın). FBI’ın InfraGard sistemi varsayılan olarak çok faktörlü kimlik doğrulaması gerektirse de, kullanıcılar SMS veya e-posta yoluyla tek seferlik bir kod alma arasında seçim yapabilir.
“Sadece telefon olsaydı, içinde olacağım [a] kötü durum,” dedi USDoD. “Çünkü kişiyi kullandım[‘s] taklit ettiğim telefon.”
USDoD, InfraGard kullanıcı verilerinin, InfraGard üyelerinin birbirleriyle bağlantı kurmasına ve iletişim kurmasına yardımcı olan web sitesinin birkaç temel bileşenine yerleştirilmiş bir Uygulama Programlama Arayüzü (API) aracılığıyla kolayca erişilebilir hale getirildiğini söyledi.
USDoD, InfraGard üyelikleri onaylandıktan sonra, bir arkadaştan bu API’yi sorgulamak ve mevcut tüm InfraGard kullanıcı verilerini almak için Python’da bir komut dosyası kodlamasını istediklerini söyledi.
USDoD, “InfraGard, yüksek profilli kişiler için bir sosyal medya istihbarat merkezidir” dedi. “Onlar bile [a] şeyleri tartışmak için bir forum.”
KrebsOnSecurity, FBI ile sahte InfraGard hesabını izole etmeye yardımcı olabilecek birkaç ekran görüntüsü ve diğer verileri paylaştı, ancak ajans bu hikaye için yorum yapmayı reddetti.
USDoD, Salı akşamı yayın saatinden itibaren InfraGard’a hala erişimleri olduğunu kanıtlamak için, InfraGard’ın mesajlaşma sistemi aracılığıyla, kişisel bilgileri başlangıçta veritabanı satış dizisinde bir teaser olarak yayınlanan bir InfraGard üyesine doğrudan bir not gönderdi.
Büyük bir ABD teknoloji firmasında güvenlik başkanı olan InfraGard üyesi, USDoD’nin mesajını aldığını doğruladı, ancak bu hikaye için kimliğinin gizli kalmasını istedi.
USDoD, zaten çok güvenlik bilincine sahip kişilerin oldukça basit bir listesi olduğu düşünüldüğünde, InfraGard veritabanı için 50.000 $ talep etme fiyatının biraz yüksek olabileceğini kabul etti. Ayrıca, kullanıcı hesaplarının yalnızca yarısı bir e-posta adresi içerir ve Sosyal Güvenlik Numarası ve Doğum Tarihi gibi diğer veritabanı alanlarının çoğu tamamen boştur.
“Birinin bu bedeli ödeyeceğini sanmıyorum ama mecburum. [price it] biraz daha yüksek [negotiate] İstediğim fiyat” diye açıkladılar.
InfraGard’a sızma nedeniyle açığa çıkan veriler çok az olsa da, kullanıcı verileri davetsiz misafirler için gerçek bir oyun olmayabilir.
USDoD, sahtekar hesabın, CEO olarak InfraGuard mesajlaşma portalını kullanarak diğer yöneticilere doğrudan mesaj göndermeyi bitirmelerine yetecek kadar uzun süre dayanacağını umduklarını söyledi. USDoD, bu tür bir mesaj olduğunu iddia ettikleri aşağıdaki düzeltilmiş ekran görüntüsünü paylaştı, ancak bununla ilgili ek bağlam sağlamadılar.
USDoD, satış dizisinde işlem için garantörün olacağını söyledi. Ponponpuri, siber suç forumunun yöneticisi Breached. Veritabanını forum yöneticisinin emanet hizmeti aracılığıyla satın alarak, müstakbel alıcılar teorik olarak dolandırılmaktan kaçınabilir ve para el değiştirmeden önce işlemin her iki tarafı da tatmin edecek şekilde tamamlanmasını sağlayabilir.
Pompompurin, yıllardır FBI için bir diken olmuştur. İhlal edilmiş forumları, yaygın olarak ikinci enkarnasyon olarak kabul edilir. RaidForumları, Nisan ayında ABD Adalet Bakanlığı tarafından kapatılan oldukça benzer bir İngilizce siber suç forumu. RaidForums, FBI tarafından sızmadan önce, dünyanın en büyük veri ihlallerinden bazılarında çalınan 10 milyardan fazla tüketici kaydına erişim sattı.
Kasım 2021’de KrebsOnSecurity, Pompompurin’in eyalet ve yerel kolluk kuvvetleriyle bilgi paylaşmak için tasarlanmış bir FBI çevrimiçi portalındaki bir güvenlik açığını nasıl kötüye kullandığını ve bu erişimin, tümü bir FBI e-postasından gönderilen binlerce sahte e-posta mesajını ortaya çıkarmak için nasıl kullanıldığını ayrıntılarıyla anlattı. İnternet adresi.
Bu gelişmekte olan bir hikaye. Güncellemeler burada zaman damgalarıyla belirtilecektir.