Pilules amaigrissantes de Beltway Bandits – Krebs on Security – Un bon serveur Minecraft
Lire des messages de courrier indésirable n’est pas exactement mon idée du bon temps, mais il est parfois amusant de s’amuser en prenant un moment pour vérifier qui a vraiment envoyé le courrier électronique. Voici l’histoire simple de la façon dont un récent courrier indésirable annonçant des «pilules amaigrissantes» pour célébrités a été attribué à un sous-traitant de la défense basé à Washington DC qui construit des systèmes de communication tactiques pour les communautés de l’armée et du renseignement américains.
Chemin de retour:
X-Original-To: rfg-myspace@ronsdomain.example.com
Livré à: rfg-myspace@ronsdomain.example.com
Reçu: depuis host.psttsxserver.com (host.tracesystems.com [72.52.186.80])
par subdomain.ronsdomain.example.com (Postfix) avec l'identifiant ESMTP 5FE083AE87
pour; Mer., 12 avril 2017 13:37:44 -0700 (PDT)
DKIM-Signature: v = 1; a = rsa-sha256; q = dns / txt; c = détendu / détendu; d = gtacs.com;
s = par défaut; h = Version MIME: Type de contenu: Date: ID de message: Sujet: À: De:
Expéditeur: Répondre à: Cc: Codage de transfert de contenu: ID de contenu: Description de contenu:
Resent-Date: Resent-De: Resent-Sender: Resent-To: Resent-Cc: Resent-Message-ID:
In-Reply-To: Références: Id-List: List-Help: List-Unsubscribe: List-Subscribe:
List-Post: Propriétaire de la liste: List-Archive;
Reçu de [186.226.237.238] (port = 41986 helo =[127.0.0.1])
par host.psttsxserver.com avec esmtpsa (TLSv1: DHE-RSA-AES256-SHA: 256)
(Exim 4.87)
(enveloppe-de)
id 1cyP1J-0004K8-OR
pour rfg-myspace@ronsdomain.example.com; Mer., 12 avr. 2017 16:37:42 -0400
De: dan@gtacs.com
Pour: rfg-myspace@ronsdomain.example.com
Objet: Découvrez le secret de la façon dont les films et les stars de la scène sont encore en forme
ID du message:
Priorité X: 3
Importance: Normal
Date: mer 12 avr 2017 22:37:39 +0200
X-Original-Content-Type: multipart / alternative;
frontière = ”- InfrawareEmailBoundaryDepth1_FD5E8CC5–”
MIME-Version: 1.0
X-Mailer: Infraware POLARIS Mobile Mailer v2.5
X-AntiAbuse: Cet en-tête a été ajouté pour suivre les abus, veuillez l'inclure dans votre rapport d'abus.
X-AntiAbuse: Nom d'hôte principal – host.psttsxserver.com
X-AntiAbuse: domaine d'origine – ronsdomain.example.com
X-AntiAbuse: UID / GID du demandeur / de l'appelant – [47 12] / [47 12]
X-AntiAbuse: domaine d'adresse d'expéditeur – gtacs.com
X-Get-Message-Sender-Via: host.psttsxserver.com: id_authentifié: dan@gtacs.com
X-Authenticated-Sender: host.psttsxserver.com: dan@gtacs.comLes célébrités doivent toujours être belles et c'est aussi difficile que vous le pouvez
… Coupé…
Dans ce cas, l'adresse de retour est dan@gtacs.com. L’autre bit à noter est l’adresse Internet et le domaine référencés à la quatrième ligne, après «Reçu», ainsi libellé: «from host.psttsxserver.com (host.tracesystems.com [72.52.186.80]) ”
Gtacs.com appartient au site Web Team Team Portal de Trace Systems, un site Web expliquant que GTACS fait partie de l’équipe Trace Systems, dont le contrat consiste à fournir «une gamme complète de systèmes de communications tactiques, d’ingénierie système, d’intégration, d’installation et de support technique». le ministère de la Défense, le département de la Sécurité intérieure (DHS) et les clients de la communauté du renseignement. »La société répertorie certains de ses clients ici.
Gtacs.com et tracesystems.com déclarent que les sociétés «fournissent une expertise en matière de cybersécurité et de renseignement à l'appui des intérêts de la sécurité nationale:« GTACS est un véhicule contractuel qui sera utilisé par divers clients dans le cadre des systèmes, équipements, services et services C3T. données ", dit le site de la société. La partie «C3T» est une expression militaire qui parle de «commandement, contrôle, communications et tactique».
Les enregistrements de système de nom de domaine (DNS) passifs gérés par Farsight Security pour l'adresse Internet répertoriée dans les en-têtes de courrier indésirable – 72.52.186.80 – indiquent que gtacs.com était à la fois sur la même adresse Internet, ainsi que de nombreux domaines et sous-domaines associés à Trace Systems. .
Il est vrai que certaines informations d’en-tête d’un courrier électronique peuvent être falsifiées. Par exemple, les spammeurs et leurs outils peuvent falsifier l'adresse électronique dans la ligne "De:" du message, ainsi que dans la partie "Réponse à:" de la missive. Mais ni l'un ni l'autre ne semble avoir été falsifié dans ce spam de pharmacie.
J'ai renvoyé ce message de spam à Dan@gtacs.com, l'expéditeur apparent. Après plusieurs jours sans recevoir de réponse de Dan, je craignais que des cybercriminels s’enracinent dans les réseaux de cet entrepreneur de la défense qui assure les communications pour l’armée américaine. Spammers maladroits et pas très brillants, mais des intrus pour être sûr. J'ai donc transmis le message de spam à un contact Linkedin de Trace Systems, qui effectue le contrat de réponse aux incidents de la société.
Ma source Linkedin a transmis la demande à un «responsable de la tâche» de Trace, qui a déclaré qu’il aurait été informé que gtacs.com n’était pas un domaine de Trace Systems. Cherchant plus d'informations face à de nombreux faits différents qui étayent une conclusion différente, j'ai transmis l'enquête à Matthew Sodano, vice-président et chef de l’information de Trace Systems Inc.
"Le domaine et le site en question sont hébergés et maintenus pour nous par un fournisseur externe", a déclaré Sodano. «Nous les avons alertés sur ce problème et ils enquêtent. Le compte a été désactivé. "
Vraisemblablement, le «fournisseur extérieur» de la société était Technologies Power Storm, la société qui est apparemment propriétaire des serveurs qui ont envoyé le spam non autorisé de Dan@gtacs.com. Power Storm n'a pas renvoyé de messages demandant un commentaire.
Selon Guilmette, Quel que soit le nom de Dan, quel qu’il soit avec Gtacs.com, son compte a été compromis par des spammeurs assez inepte qui, de toute évidence, ne savaient pas ou ne se souciaient pas de faire partie d’un sous-traitant américain de la défense spécialisé dans les communications de niveau militaire. Au lieu de cela, les intrus ont choisi d'utiliser ces systèmes de manière presque sûre pour attirer l'attention sur le compte compromis et les serveurs piratés utilisés pour transférer le courrier indésirable.
“Certains… contractants qui travaillent pour une entreprise“ cybersécurité ”basée à Vienne, en Virginie, ont apparemment perdu leurs identifiants de courrier électronique sortants (qui sont probablement utiles également pour la connexion à distance) à un spammeur qui, je crois, se base sur les informations disponibles. preuve, est très probablement situé en Roumanie ", a écrit Guilmette dans un courrier électronique à cet auteur.
Guilmette a déclaré à KrebsOnSecurity qu'il surveillait ce polluposteur en particulier depuis septembre 2015. Interrogé sur les raisons de sa conviction que le même type en était responsable, et d'autres spams spécifiques, Guilmette a expliqué que le polluposteur composait ses messages de spam avec la même signature HTML "signature". dans le lien hypertexte qui constitue la majeure partie du message: Une version extrêmement ancienne de Microsoft Office.
Il semble que ce polluposteur n’a pas l’esprit de spammer les listes de discussion sur le Web. Par exemple, il a même envoyé une de ses escroqueries concernant des pilules amaigrissantes pour célébrités à une liste gérée par le registre américain des numéros Internet (ARIN), le registre Internet régional pour le Canada et les États-Unis. La liste d’ARIN a balayé le fichier HTML que le spammeur a joint au message. Cliquez sur le lien inclus pour afficher la pièce jointe nettoyée envoyée à la liste ARIN pour afficher cette page. Et si vous regardez en haut de cette page, vous verrez quelque chose qui dit:
”… Xmlns: m =” http: // schémas.
"Bien sûr, il y a beaucoup de gens normaux qui utilisent encore cet ancien MS Office pour composer des emails, mais pour autant que je sache, c'est le seul polluposteur majeur qui l'utilise actuellement," Dit Guilmette. «J’ai reçu des dizaines et des dizaines de spams, tous de ce même type, il ya environ 18 mois. Ils ont tous le même style et ont tous été composés avec “/ office / 2004/12 /”.
Guilmette affirme que les mêmes spammeurs qui ont envoyé les anciens spams d'Office à des entrepreneurs de la défense l'ont également fait à partir d'appareils «Internet of Things» compromis, comme un système de vidéoconférence piraté basé en Chine. Guilmette dit que le polluposteur a été connu pour envoyer des liens malveillants dans des courriers électroniques qui utilisent des exploits JavaScript malveillants pour conserver les informations d'identification stockées sur la machine compromise. Il suppose que Dan@gtacs.com a probablement ouvert l'un des liens JavaScript piégés.
"Quand et s'il en trouve, il utilise ces informations d'identification volées pour envoyer encore plus de spam via le serveur de messagerie de la société" légitime "", a déclaré Guilmette. "Et parce que les spams sortent maintenant de serveurs de courrier" légitimes "appartenant à des sociétés" légitimes ", ils ne sont jamais bloqués, ni par Spamhaus, ni par aucune autre liste noire."
Nous pouvons seulement espérer que le polluposteur qui a tiré cette information ne réalisera jamais la valeur probable de cet ensemble spécifique d’identifiants de connexion qu’il a réussi à obtenir, parmi beaucoup d’autres, a déclaré Guilmette.
"Si il fait conscient de ce qu’il a entre les mains, je suis convaincu que les Russes et / ou les Chinois seraient plus que ravis de lui acheter ces lettres de créance, lui remboursant probablement davantage que celles qu’il pourrait espérer gagner pendant des années de spam. ”
Ce n’est pas la première fois qu’un petit e-mail oups a pu créer un gros problème pour un fournisseur de systèmes de défense de la cybersécurité dans la région de Washington. Le mois dernier, Point de défense de la sécurité – qui fournit des services de cyber-contractualisation au centre des opérations de sécurité pour les Contrôle de l'Immigration et des Douanes Division (ICE) – alerté quelque 200 à 300 employés actuels et anciens que leurs informations fiscales W-2 avaient été communiquées à des fraudeurs après qu’un employé eut été victime d’une arnaque par hameçonnage causant une parodie du patron.
Vous voulez en savoir plus sur comment trouver et lire les en-têtes de courrier électronique? Ce site contient une référence pratique vous expliquant comment afficher les en-têtes de plus de deux douzaines de programmes de messagerie différents, notamment Outlook, Yahoo !, Hotmail et Gmail. Cette amorce de HowToGeek.com explique les types d’informations que vous pouvez trouver dans les en-têtes de courrier électronique et leur signification.
Tags: Registre américain des numéros Internet, ARIN, C3T, dan@gtacs.com, Sécurité des points de défense, Sécurité Farsight, GTACS, Matthew Sodano, Technologies Power Storm, Ron Guilmette, tracesystems.com
Cette entrée a été publiée le mercredi 19 avril 2017 à 14h56 dans la catégorie Autres.
Vous pouvez suivre les commentaires de cette entrée via le flux RSS 2.0.
Les commentaires ainsi que les pings sont actuellement fermés.
Commentaires
Laisser un commentaire