Відстеження спам-дієтичних таблеток від бандитів Beltway; Кребс з питань безпеки

Поглиблені новини та розслідування безпеки

beltway

Відстеження спаму: таблетки для схуднення від бандитів Beltway

Читання небажаних спам-повідомлень - це не зовсім моя ідея приємного проведення часу, але іноді можна отримати задоволення, коли знайдете хвилинку, щоб перевірити, хто насправді надіслав електронний лист. Ось проста історія про те, як нещодавно спам електронною поштою рекламу відомих людей "таблетками для схуднення" прослідковувались до підрядника оборони у Вашингтоні, округ Колумбія, який будує тактичні системи зв'язку для військових та розвідувальних спільнот США.

Ваша середня електронна пошта може містити велику кількість інформації про системи, що використовуються для обробки небажаної електронної пошти. Якщо вам пощастить, це може навіть запропонувати інформацію про організацію, яка володіє мережевими ресурсами (комп’ютерами, мобільними пристроями), які були зламані для використання під час надсилання або передачі небажаних повідомлень.

Раніше цього місяця анти-спам-активіст і експерт Рон Гільмет виявив, що переглядає "заголовки" повідомлення про спам, яке викликало цікаве попередження. “Заголовки” - це зазвичай невидимі деталі адресації та маршрутизації, які супроводжують кожне повідомлення. Зазвичай їх не бачать, бо вони приховані, якщо ви не знаєте, як і де їх шукати.

Візьмемо для прикладу заголовки цього електронного листа - від 12 квітня 2017 року. Для непосвячених заголовки електронних листів можуть здатися величезним звалищем інформації. Але нас насправді цікавить лише декілька речей (фактична електронна адреса Гільмета була змінена на „ronsdomain.example.com“ у незмінених заголовках спам-повідомлень нижче):

У цьому випадку адреса зворотного зв'язку є [email protected]. Інший біт, на який слід звернути увагу, - це адреса Інтернету та домен, на який посилається четвертий рядок, після “Отримано”, який говорить: “з host.psttsxserver.com (host.tracesystems.com [72.52.186.80])”

Gtacs.com належить до порталу команди Trace Systems GTACS, веб-сайту, який пояснює, що GTACS є частиною команди Trace Systems, яка укладає контракти на надання «повного спектру тактичних систем зв'язку, системної інженерії, інтеграції, встановлення та технічної підтримки для Міністерство оборони (Міністерство оборони), Міністерство національної безпеки (DHS) та замовники розвідувального співтовариства ". Тут компанія перелічує деяких своїх клієнтів.

Домашня сторінка Trace Systems.

Як Gtacs.com, так і tracesystems.com заявляють, що компанії "надають експертизу в галузі кібербезпеки та розвідки на підтримку інтересів національної безпеки:" GTACS - це контрактний транспортний засіб, який буде використовуватися різними замовниками в рамках систем, обладнання, послуг та послуг C3T. дані », - йдеться на сайті компанії. Частина “C3T” - це військова мова, що означає “Командування, управління, зв’язок та тактика”.

Записи пасивної системи доменних імен (DNS), які веде Farsight Security для інтернет-адреси, зазначеної в заголовках спаму - 72.52.186.80 - показують, що gtacs.com свого часу знаходився на тій самій Інтернет-адресі разом із багатьма доменами та субдоменами, пов’язаними з Trace Systems.

Це правда, що деяку інформацію заголовка електронного листа можна сфальсифікувати. Наприклад, спамери та їх інструменти можуть сфальсифікувати електронну адресу в рядку повідомлення "з:", а також у частині місису "відповісти на:". Але, здається, жоден з цих підроблених фрагментів аптечного спаму не був підроблений.

Домашня сторінка Gtacs.com.

Я переслав це спам-повідомлення назад на [email protected], очевидного відправника. Не отримавши відповіді від Дена через кілька днів, я занепокоївся тим, що кіберзлочинці можуть ходити по мережах цього підрядника оборони, який здійснює зв'язок для американських військових. Невмілі та не дуже яскраві спамери, але напевно зловмисники. Тож я переслав спам-повідомлення контакту Linkedin у Trace Systems, який виконує підрядні роботи щодо реагування на інциденти для компанії.