Суд в Хьюстоне санкционировал операцию ФБР по «копированию и удалению» бэкдоров с почтовых серверов Microsoft Exchange в США. Операцию минюст назвал успешной.
В марте Microsoft сообщила об атаке на серверы Exchange, за которой, по сведениям компании, стояла хакерская группировка Hafnium. Объединенные в цепочку четыре уязвимости нулевого дня позволили хакерам проникнуть на сервер Exchange и украсть его содержимое. Microsoft устранила уязвимости, но патчи не закрыли бэкдоры взломанных серверов. Через несколько дней другие хакерские группы начали атаковать серверы, используя те же уязвимости и пытаясь установить программы-вымогатели.
Количество зараженных серверов снизилось по мере внесения исправлений. Но сотни серверов Exchange остались уязвимыми, поскольку не все владельцы смогли найти и устранить вредоносные веб-оболочки, говорится в заявлении Министерства юстиции США. ФБР воспользовалось оставленными бэкдорами, чтобы удалить их.
«ФБР провело удаление, отправив серверу команду через веб-оболочку, которая должна была заставить сервер удалить только веб-оболочку (идентифицируемую по его уникальному пути к файлу)», — поясняет Министерство юстиции США.
Не все владельцы серверов Microsoft Exchange осведомлены об операции; Министерство юстиции заявляет, пытается сообщить владельцам по электронной почте о работе бюро. Помощник генерального прокурора Джон Демерс сказал, что эта операция «демонстрирует стремление Департамента пресечь хакерскую деятельность с использованием всех доступных юридических инструментов, а не только судебного преследования».
Министерство юстиции также заявило, что операция только удалила бэкдоры, но не исправила уязвимости, использованные хакерами, и не удалила оставшееся вредоносное ПО.
Считается, что это первый известный случай, когда ФБР эффективно очищает частные сети после кибератаки. В 2016 году Верховный суд разрешил судьям США выдавать ордера на операции подобного рода за пределами своего округа. Критики этой инициативы опасались, что ФБР может обратиться в дружественный суд с просьбой разрешить кибероперации в любой точке мира.
Catslinger
1) Они не чинят дыру, а удаляют дырявый компонент. Что означает, что одмин той машины, ругаясь, что МС опять упал, просто восстановит всё как было.
2) Срачи на тему, можно ли взламывать, чтобы удалять уязвимость, и выпускать вирусы, удаляющие другие вирусы, поминались ещё в книжке Фролова (про MsDOS).
zloy_zaya
На самом деле они говорят, что они удаляли web shells только у тех, у кого были сложные случаи: "Because the web shells the FBI removed each had a unique file path and name, they may have been more challenging for individual server owners to detect and eliminate than other web shells"
Он его распечатает и повесит на стенку, а также впишет в резюме, что помог ФБР бороться с хакерами.<sarcasm/>А к "одмину" придет письмо счастья из ФБР с официального домена FBI.gov
С учётом того, что рекомендации по установке патчей дает Department of Homeland Security, то "одмин" после такого "затыка" работу может больше и не найти, по крайней мере в хорошей компании.