השבוע עלה למכירה בפורום פשעי סייבר בשם Breached מסד הנתונים של InfraGard עם פרטי הקשר של יותר מ- 80,000 חברים בו. תוכנית InfraGard מנוהלת על ידי ה- FBI בארה"ב לשם בניית שותפויות מידע סייבר ואיומים פיזיים עם המגזר הפרטי. בינתיים, ההאקרים האחראים לפריצה מתקשרים ישירות עם חברי התכנית דרך פורטל InfraGard באינטרנט באמצעות חשבון תחת זהות של מנכ"ל בתעשייה הפיננסית שנבדק ואושר על ידי ה- FBI עצמו.
תוכנית ה- InfraGard של ה- FBI אמורה לבדוק ולאשר אנשי מפתח הממלאים תפקידים במגזר הפרטי – תפקידים הכוללים הן אבטחת סייבר והן אבטחה פיזית בחברות המנהלות את רוב התשתיות הקריטיות של המדינה, לרבות מי שתייה, שירותי חשמל, חברות תקשורת, שירותים פיננסיים, תחבורה, חברות ייצור, ספקי שירותי בריאות וחברות אנרגיה גרעינית. InfraGard מחברת בין בעלי תשתיות קריטיות, בעלי תפקידים ובעלי עניין עם ה- FBI במטרה לספק חינוך למניעת פשעי סייבר, רשתות מידע ושיתוף מידע אודות איומי אבטחה וסיכונים.
בתגובה למידע שפורסם באתר krebsonsecurity.com, הגיב ה- FBI בטענה שהוא מודע לחשבון מזויף הקשור לפורטל InfraGard וכי הוא בוחן את הנושא באופן פעיל: "זהו אירוע מתמשך ואיננו יכולים לספק מידע נוסף בשלב זה", ענה ה- FBI בהצהרתו לאתר. krebsonsecurity יצרו קשר עם מוכרי מסד הנתונים של InfraGard – חברים בפורום פשעי סייבר המשתמשים בכינוי "USDoD" והאוואטר שלהם הוא החותם של משרד ההגנה האמריקני. לטענתם, הם השיגו גישה למערכת InfraGard של ה- FBI על ידי הגשת בקשה ליצירת לחשבון חדש תוך שימוש בשם, מספר תעודת זהות, תאריך לידה ופרטים אישיים אחרים של מנכ"ל בחברה, אשר סביר מאוד שתזכה לחברות ב- InfraGard. המנכ"ל המדובר – כיום ראש תאגיד פיננסי גדול בארה"ב שיש לו השפעה ישירה על האשראי של רוב האמריקנים, אמר ל- krebsonsecurity שמעולם לא פנו אליו מה- FBI לבדיקת בקשת הצטרפותו לכאורה InfraGard. קבוצת USDoD טוענת שהבקשה המזויפת שלהם הוגשה בנובמבר על שם המנכ"ל והיא כללה כתובת אימייל שבשליטתם ליצירת קשר, אבל גם את מספר הטלפון הנייד האמיתי של המנכ"ל. בתחילת דצמבר, קיבלה כתובת הדוא"ל שלהם בשם המנכ"ל תשובה לפיה הבקשה אושרה. בעוד שמערכת InfraGard של ה- FBI דורשת אימות רב גורמי כברירת מחדל, יכולים משתמשים לבחור בין קבלת קוד חד פעמי באמצעות SMS או דואר אלקטרוני: "אם האימות הרב גורמי היה רק בטלפון היינו במצב גרוע", אמרו USDoD מכיוון שהם השתמשו בטלפון של האדם אליו התחזו.
USDoD טוענים כי נתוני המשתמשים של InfraGard הפכו לזמינים בקלות עבורם באמצעות ממשק API המובנה במספר מרכיבים מרכזיים של האתר ועוזרים לחברי InfraGard להתחבר ולתקשר זה עם זה. לאחר אישור החברות שלהם ב- InfraGard, כתבו USDoD סקריפט ב- Python כדי לבצע שאילתות ב- API של InfraGard ולאחזר את כל נתוני המשתמש הזמינים במערכת. כדי להוכיח שעדיין הייתה להם גישה ל- InfraGard נכון לזמן פרסום הידיעה השבוע, שלחו USDoD הודעה ישירה דרך מערכת ההודעות של InfraGard לחבר InfraGard שפרטיו האישיים פורסמו בתחילה כטיזר בשרשור המכירה של מסד הנתונים. אותו חבר InfraGard, שהוא ראש אבטחה בחברת טכנולוגיה גדולה בארה"ב, אישר את קבלת ההודעה של USDoD אך ביקש להישאר בעילום שם.
USDoD הכירה בכך שהמחיר המבוקש של $50,000 עבור מסד הנתונים של InfraGard עשוי להיות מעט גבוה, בהתחשב בעובדה שזו רשימה בסיסית למדי של אנשים. כמו כן, רק כמחצית מחשבונות המשתמשים מכילים כתובת דוא"ל ורוב שדות מסד הנתונים האחרים כמו מספר תעודת זהות ותאריך לידה – ריקים לחלוטין. בעוד שהנתונים שנחשפו על ידי פריצת ההאקרים ל- InfraGard עשויים להיות מינימליים, ייתכן שנתוני המשתמשים אינם מהווים את אקורד הסיום האמיתי של מתקפת סייבר זו. USDoD אמרו שהם מקווים שהחשבון המזויף שיצרו יפעל מספיק זמן כדי שהם יסיימו לשלוח הודעות כמנכ"ל ישירות למנהלים אחרים באמצעות פורטל ההודעות של InfraGuard. כמו כן, הם ציינו כי הערבות לעסקת המכירה תהיה על ידי Pompompurin – מנהל פורום פשעי הסייבר Breached. על ידי רכישת מסד הנתונים דרך שירות הנאמנות של מנהל הפורום, יכולים קונים פוטנציאליים באופן תיאורטי להימנע מהונאה ולהבטיח שהעסקה תבוצע לשביעות רצונם של שני הצדדים לפני שהכסף יחליף ידיים. Pompompurin הינו דמות מוכרת ל- FBI במשך שנים. פורום פשעי הסייבר שלו נחשב לגלגול השני של RaidForums – פורום פשעי סייבר דומה להפליא שנסגר על ידי משרד המשפטים האמריקני באפריל. עדויות מלמדות כי RaidForums מכר גישה ליותר מ- 10 מיליארד רשומות צרכנים שנגנבו בכמה מפרצות המידע הגדולות בעולם. בנובמבר 2021, פירט אתר krebsonsecurity כיצד ניצל לרעה Pompompurin פגיעות בפורטל מקוון של ה- FBI שנועד לשתף מידע עם רשויות אכיפת החוק במדינה וכיצד נעשה שימוש בגישה זו לשליחת אלפי הודעות דוא"ל מתיחה – כולן נשלחו מכתובת דוא"ל רשמית של ה- FBI.
