InfraGard是美国联邦调查局(FBI)运行的一个项目,旨在与私营部门建立网络和物理威胁信息共享伙伴关系,本周,其 80,000 多名成员的联系信息数据库在英语网站上出售 -语言网络犯罪论坛。与此同时,负责的黑客正在通过 InfraGard 在线门户直接与成员沟通——使用一个新账户,假冒金融行业 CEO 的身份,并由 FBI 自己审查。
2022 年 12 月 10 日,相对较新的网络犯罪论坛Breached推出了一个重磅炸弹的新销售线程:InfraGard 的用户数据库,包括数万名 InfraGard 成员的姓名和联系信息。
FBI 的 InfraGard 计划应该是经过审查的名人录,其中涉及管理国家大部分关键基础设施(包括饮用水和电力公用事业、通信和金融服务公司、运输公司)的公司的网络和物理安全的私营部门关键人物和制造公司、医疗保健供应商和核能公司。
“InfraGard 将关键基础设施所有者、运营商和利益相关者与 FBI 联系起来,以提供有关安全威胁和风险的教育、网络和信息共享,”FBI 的 InfraGard 情况说明书写道。
KrebsOnSecurity 联系了 InfraGard 数据库的卖家,一位 Breached 论坛成员,用户名是“ USDoD ”,头像是美国国防部的印章。
美国国防部关于 Breached 的 InfraGard 销售线索
美国国防部表示,他们通过使用极有可能获得 InfraGard 会员资格的公司首席执行官的姓名、社会安全号码、出生日期和其他个人详细信息申请一个新帐户,从而获得了对 FBI InfraGard 系统的访问权限。
这位首席执行官——目前是一家对大多数美国人的信用有直接影响的大型美国金融公司的负责人——没有回应置评请求。
美国国防部告诉 KrebsOnSecurity,他们的虚假申请是在 11 月以首席执行官的名义提交的,该申请包括他们控制的联系电子邮件地址——以及首席执行官的真实手机号码。
“当你注册时,他们说要获得批准至少需要三个月,”美国国防部说。“我没想到会被批准[d]。”
但美国国防部表示,在 12 月初,他们以 CEO 名义的电子邮件地址收到了一封回复,称申请已获批准(见右侧的编辑截图)。虽然 FBI 的 InfraGard 系统默认需要多重身份验证,但用户可以选择通过短信或电子邮件接收一次性代码。
“如果只是手机问题,我的处境就会很糟糕,”美国国防部说。“因为我使用了我正在冒充的人的电话。”
美国国防部表示,InfraGard 用户数据可通过应用程序编程接口 (API) 轻松获取,该接口内置于网站的几个关键组件中,可帮助 InfraGard 成员相互连接和通信。
美国国防部表示,在他们的 InfraGard 会员资格获得批准后,他们要求一位朋友用 Python 编写脚本来查询该 API 并检索所有可用的 InfraGard 用户数据。
“InfraGard 是面向知名人士的社交媒体情报中心,”美国国防部表示。“他们甚至有 [a] 论坛来讨论事情。”
KrebsOnSecurity 与 FBI 分享了一些可能有助于隔离冒名顶替者 InfraGard 帐户的屏幕截图和其他数据,但该机构拒绝就此事发表评论。
为了证明截至周二晚上发布时间他们仍然可以访问 InfraGard,美国国防部通过 InfraGard 的消息系统向一名 InfraGard 成员发送了一条直接说明,该成员的个人详细信息最初作为预告片发布在数据库销售线程上。
这位 InfraGard 成员是美国一家大型科技公司的安全负责人,他确认收到了美国国防部的消息,但要求对此事保持匿名。
美国国防部承认,他们对 InfraGard 数据库的 50,000 美元要价可能有点高,因为这是一个相当基本的人员名单,他们已经非常注重安全。此外,只有大约一半的用户帐户包含电子邮件地址,而大多数其他数据库字段——如社会安全号码和出生日期——完全是空的。
“我不认为有人会支付那个价格,但我必须[定价]高一点才能[协商]我想要的价格,”他们解释道。
虽然 InfraGard 渗透所暴露的数据可能很少,但用户数据可能并不是入侵者真正的最终目标。
美国国防部表示,他们希望冒名顶替的账户能持续足够长的时间,让他们能够以 CEO 的身份使用 InfraGuard 消息门户向其他高管发送直接消息。美国国防部分享了以下经过编辑的屏幕截图,他们声称这是一条这样的消息,尽管他们没有提供更多相关信息。
美国国防部分享的屏幕截图显示了 FBI InfraGard 系统中的消息线程。
美国国防部在他们的销售线索中表示,交易的担保人将是网络犯罪论坛Breached的管理员 Pompompurin。通过论坛管理员的托管服务购买数据库,潜在买家理论上可以避免上当受骗,并确保在资金交换之前交易双方都满意地完成。
多年来,Pompompurin 一直是 FBI 的眼中钉。他们的 Breached 论坛被广泛认为是 RaidForums 的第二个化身,RaidForums是一个非常相似的英语网络犯罪论坛,于 4 月被美国司法部关闭。在被 FBI 渗透之前,RaidForums 出售了超过 100 亿条在世界上一些最大的数据泄露事件中被盗的消费者记录。
2021 年 11 月,KrebsOnSecurity 详细介绍了 Pompompurin 如何滥用 FBI 在线门户中的一个漏洞,该门户旨在与州和地方执法机构共享信息,以及如何利用该访问权限爆出数以千计的恶作剧电子邮件消息——所有这些消息都是从 FBI 电子邮件发送的互联网地址。
文章来源:https://krebsonsecurity.com/2022/12/fbis-vetted-info-sharing-network-infragard-hacked/
