EchoSpoofing: как хакеры превратили Proofpoint в конвейер по рассылке фальшивых писем

Неизвестный злоумышленник использовал уязвимость в настройках маршрутизации электронной почты компании Proofpoint для массовой рассылки поддельных сообщений от имени известных компаний, таких как Best Buy, IBM, Nike и Walt Disney.

По данным исследователя из Guardio Labs, электронные письма отправлялись через официальные серверы Proofpoint с подлинными SPF и DKIM подписями, что позволяло обходить основные меры безопасности и вводить получателей в заблуждение для кражи средств и данных кредитных карт.

Кампания получила название EchoSpoofing. Она началась в январе этого года и завершилась лишь в июне, когда Proofpoint начала принимать активные меры противодействия. Ежедневно злоумышленники отправляли в среднем по три миллиона писем, достигнув пика в 14 миллионов в один из июньских дней.

Метод подделки писем оказался настолько уникальным, что почти не оставлял шансов понять, что это не настоящие письма от компаний. Злоумышленники использовали серверы SMTP на виртуальных частных серверах (VPS), соблюдая все меры аутентификации, такие как SPF и DKIM, что делало фальшивые письма очень убедительными.

Письма маршрутизировались через клиентов Microsoft 365 (тенантов), контролируемых злоумышленниками, а затем передавались через инфраструктуру электронной почты клиентов Proofpoint к пользователям бесплатных почтовых сервисов, таких как Yahoo!, Gmail и GMX. Это стало возможно из-за ошибки конфигурации на серверах Proofpoint, дающей атакующим повышенные привилегии.

Основная проблема заключалась в возможности изменения настроек маршрутизации электронной почты на серверах Proofpoint, что позволяло пересылать сообщения от любых тенантов Microsoft 365, не указывая конкретные допустимые тенанты. Это привело к тому, что злоумышленники могли настроить поддельные тенанты и отправлять сообщения, которые пересылались через серверы Proofpoint и выглядели как подлинные.

Злоумышленники использовали взломанную версию программы PowerMTA для массовой рассылки сообщений, используя различные IP-адреса и VPS для отправки тысяч сообщений за раз. Эти письма принимались Microsoft 365 и пересылались через инфраструктуру Proofpoint с применением подписи DKIM, что делало их ещё более убедительными.

Основной целью EchoSpoofing было создание незаконного дохода и минимизация риска разоблачения, так как прямое обращение к компаниям могло бы значительно увеличить шансы на обнаружение схемы. Proofpoint заявила, что деятельность хакеров не совпадает с известными угрозами и группами. Специалисты компании подчеркнули, что данные клиентов не были скомпрометированы, и что им были предоставлены рекомендации для выявления фишинга.

Для уменьшения объёма спама Proofpoint призывает провайдеров VPS ограничить возможность отправки большого количества сообщений с их серверов и призывает почтовые сервисы ограничить возможности новых и неподтверждённых пользователей отправлять массовые сообщения и подделывать домены.