Cyberthreat.id – Sistem email Biro Investigasi Federal (FBI) dibobol oleh peretas (hacker) pada Sabtu (13 November 2021). Mereka menggunakan email sah eims@ic.fbi.gov, yang biasa dipakai oleh Law Enforcement Enterprise Portal (LEE) bagian dari FBI, untuk mengirimkan pesan spam yang berisi ancaman serangan siber.

Peretas mencatut nama peneliti keamanan siber terkenal Vinny Troia dalam pesan ancaman tersebut. Troia juga kepala peneliti keamanan dari perusahaan intelijen web gep NightLion dan Shadowbyte dituding di balik serangan rantai pasokan (supply-chain attack). Ia pernah mengungkap kasus pelanggaran data 1,2 miliar orang. (Baca: Peneliti Ini Temukan Kebocoran Data 1,2 Miliar Orang)

Menurut BleepingComputer, diakses Minggu (14 November 2021), anggota komunitas peretas di RaidForums memiliki jejak konflik lama dengan Troia. Sejumlah peretas di forum jual beli data ini dikenal dengan aktivitas web defacement yang kemudian menyalahkan peneliti keamanan.

Merespon hal itu, Troia bercuit di akun Twitter-nya bahwa kemungkinan penulis email ancaman serangan itu dilakukan oleh aktor bernama “pompomourin”. Aktor ini memang sering menyudutkan reputasi peneliti keamanan.

“Tebakan terbaik saya ialah 'pompomourin' dan antek-anteknya [berada di balik insiden ini],” kata Troia kepada BleepingComputer.

“Terakhir kali mereka [pompompurin] meretas situs web pusat nasional untuk anak-anak hilang dan memasang unggahan tentang saya sebagai seorang pedofil,” ujar Troia

Dugaan tersebut juga didukung oleh fakta bahwa “pompompurin” menghubungi Troia beberapa jam sebelum serangan email spam terjadi dengan hanya mengatakan "enjoy”.

Troia mengatakan, “pompompurin” memang hampir selalu mengiriminya pesan setiap kali mereka memulai serangan untuk mendiskreditkan peneliti.

Email palsu

Aksi peretasan email FBI mendapat perhatian dari organisasi nirlaba internasional yang melacak pesan spam dan ancaman siber (phishing, botnet, malware), SpamHaus Project. Puluhan ribu pesan spam itu dikirim dalam dua gelombang dan kemungkinan jumlahnya bisa lebih banyak dari yang terlihat.

Semua email spam itu berasal dari alamat IP FBI 153.31.119.142 (mx-east-ic.fbi.gov), kata Spamhaus.

Di akun Twitter-nya, Spamhaus mengatakan, sedikitnya mendeteksi 100.000 kotak surat. Para penerima email kemungkinan diambil dari basis data American Registry for Internet Numbers (ARIN).

Meski terlihat seperti lelucon, email itu memang tidak diragukan karena berasal dari server FBI lantaran “header” pesan menunjukkan bahwa sumbernya terverifikasi oleh mekanisme DomainKeys Identified Mail (DKIM).

Header juga menunjukkan server email internal FBI berikut ini yang memproses email:

• dap00025.str0.eims.cjis
• wvadc-dmz-pmo003-fbi.enet.cjis
• dap00040.str0.eims.cjis

Dalam pernyataannya, FBI mengatakan bahwa email itu palsu dan bukan dikirim oleh lembaganya. Mereka mengaku sedang bekerja untuk menyelidiki masalah dan telah mendapat banjir laporan dari beberapa pihak yang cemas.

"FBI dan CISA telah mengetahui insiden pagi ini yang melibatkan email palsu dari akun email @ic.fbi.gov. Situasi ini sedang berlangsung dan kami tidak dapat memberikan informasi lebih lanjut saat ini. Kami mengimbau publik untuk berhati-hati terhadap pengirim yang tidak dikenal dan mendesak untuk melaporkan aktivitas mencurigakan ke www.ic3.gov atau www.cisa.gov,” ujar FBI.[]