Es ist eine ungewöhnliche Mail, die am Samstag (Ortszeit) zahlreiche US-Bürger in ihren Mail-Fächern fanden. Sie warnt vor einem möglichen Angriff im System der Empfänger. Dass viele tatsächlich Angst bekamen, lag am Absender: Die Mail stammte von einem offiziellen Server der US-Bundespolizei FBI. Verschickt wurde sie tatsächlich von einem Hacker, der damoit auf ein Problem aufmerksam machen wollte.
Entdeckt wurde die Spam-Kampagne vom Polizei-Server am Samstag. Schnell machten Screenshots der Meldung bei Twitter die Runde. Ebenso schnell wurde darauf aufmerksam gemacht, dass es sich sehr sicher um eine falsche Warnung handelt. Der in der Mail genannte Verdächtige, Vinny Troia, ist selbst im Sicherheits-Geschäft tätig, hatte zuletzt etwa die Erpresser-Gruppe Dark Overlord untersucht. Das dürfte allerdings nicht jedem der wohl über 100.000 Empfänger klar gewesen sein. Weil die Mail direkt von einer Regierungs-Mailadresse kam, scheint sie von den meisten Spamfiltern zudem nicht aussortiert worden zu sein. Vom FBI gab es zunächst nur eine kurze Stellungnahme, die das Problem bestätigte. Zudem erklärte man, den entsprechenden Server vom Netz genommen zu haben.
Schwere Lücke
Nachdem kurz über den Täter und die Motive gerätselt wurde, brachte der Sicherheits-Experte Brian Krebs in seinem Blog "Krebs on Security" bald Licht ins Dunkel. Er hatte vom Täter eine persönliche Nachricht erhalten - ebenfalls von der gehackten Adresse. Es sei ihm darum gegangen, auf eine eklatante Lücke im Server der FBI-Webseite hinzuweisen, erklärte der Hacker, der sich nur Pompompurin nennt.
Durch die Lücke war es ihm gelungen, einen Prozess zu kapern, bei dem sich die Nutzer eigentlich eine Bestätigungs-Mail der Webseite schicken lassen sollte. Mittels einer einfachen Manipulation konnte er stattdessen den Inhalt der Mails selbst bestimmen und auch die Zieladresse wählen. Schließlich gelang es ihm, den Prozess zu automatisieren. Das FBI hat den Fehler mittlerweile bestätigt, betonte aber, dass nie jemand Zugriff auf die auf dem Server gespeicherten Daten gehabt habe.
"Ich habe so etwas schon ein paar Mal bei Webseiten gesehen, aber noch nie bei Regierungsseiten und erst recht nicht bei einer, die vom FBI betrieben wird", staunte der Hacker gegenüber Krebs. "Ich hätte das zu 1000 Prozent auch dazu benützen können, legitimer aussehende Mails zu verschicken und Unternehmen zu überreden, ihre Daten heraus zu geben", glaubt er. "Das wäre nie von jemandem herausgefunden worden."
Wieso er ausgerechnet Troia namentlich in der Mail nannte, verriet der Hacker allerdings nicht. Von Troia selbst veröffentlichte Screenshots seiner Twitter-Direktnachrichten zeigen aber, dass ihn dort ein Pompompurin genannter Nutzer mit der Aktion verhöhnte. Gegenüber der Newsseite "Bleeping Computer" hatte Troia noch vor dem Erscheinen von Krebs' Artikel auf Pompompurin als möglichen Täter hingewiesen. Er vermutet einen Zusammenhang mit dem Darknet-Portal "RaidForums", das ihn immer wieder ins Visier genommen haben soll. Bald könnte man mehr wissen: Troia hatte bei Twitter angekündigt, Pompompurin in naher Zukunft zu enttarnen. Sollte es dazu kommen, droht dem Hacker viel Ärger - ausgerechnet mit dem FBI.
Quellen:Krebs on Security, Bleeping Computer
