ФБР США провела успешную операцию по устранению бэкдоров с сотен почтовых серверов Microsoft Exchange Server, сообщает TechCrunch со ссылкой на заявление министерства юстиции страны.
В марте нынешнего года Microsoft обнаружила атаку, которая проводила хакерская группировка Hafnium, имеющая поддержку правительства Китая. Четыре уязвимости в программе Microsoft Exchange Server позволили злоумышленникам проникнуть на сервера и похитить конфиденциальные данные. Microsoft удалось устранить уязвимости, но выпущенные компанией патчи не убрали бэкдоры на тех серверах, которые были взломаны хакерами. В результате другие хакерские группировки начали использовать уязвимые сервера, чтобы внедрять в них вирусы-вымогатели.
Ситуация могла стать критической, поэтому суд города Хьюстон разрешил ФБР удаленно подключиться к сотням американских серверов, чтобы вручную удалить оставшиеся от хакеров так называемые веб-оболочки — это вредоносный интерфейс, который позволяет выполнять определенные команды.
«В ходе сегодняшней операции были удалены веб-оболочки [англ. web shell], которые могли быть использованы для установления постоянного неавторизованного доступа к сетям США. ФБР провело устранение с помощью команды, отправленной через веб-оболочку на сервер»,— сообщил Минюст.
В заявлении ведомства также указано, что спецагенты удалили лишь веб-оболочки, не исправив существующие уязвимости Microsoft Exchange Server и не заблокировав вредоносные программы, которые хакеры могли успеть разместить на серверах.
Сообщается, что эта операция может стать первым случаем, когда ФБР вмешалось в работу частных серверов для устранения последствий кибератак.
Hafnium — хакерская группировка, которая обнаружила и эксплуатирует четыре уязвимости нулевого дня в Microsoft Exchange Server, который широко применяется в корпоративном сегменте, рассказал «Газете.Ru» Даниил Чернов, директор центра Solar appScreener компании «Ростелеком-Солар». Найденные проблемы безопасности позволяют получить полный контроль над Exchange Server, который управляет такими сервисами, как почта, календари, задачи и др. В частности, уязвимости позволяют получить права доступа администратора к Exchange Server, благодаря чему злоумышленникам открываются большие возможности для кражи информации и проведения успешных атак.
«Группировка Hafnium, используя уязвимость CVE-2021-26855, отправляет HTTP-запросы через порт 443, чтобы получить доступ к локальному серверу Microsoft Exchange. Если в организации нет дополнительных мер контроля в виде правильно настроенных межсетевых экранов, злоумышленникам удается загрузить web shell через 443 порт. Впоследствии через web shell хакеры отправляют команды серверу и управляют им — web shell исполняет определенный скрипт, собирая нужные злоумышленникам данные.
Уже зафиксированы подтвержденные случаи кражи электронной почты.
При этом многие компании могут не подозревать, что их атаковали, но при внимательном изучении логов можно заметить следы передачи данных на сторонний сервер», — сообщил Чернов.
По словам эксперта, с момента обнаружения критических уязвимостей Microsoft Exchange Server прошло больше месяца, но даже сейчас далеко немногие установили обновления безопасности, несмотря на то, что специалисты Microsoft и ИБ-сообщества неоднократно обращали внимание на высокий уровень критичности уязвимостей.
«Это первый публичный случай, когда суд разрешает спецслужбам удаленно устанавливать патчи. Вполне возможно, что в закрытых судебных решениях, в частности, для защиты государственных сектора суд мог и ранее выносить решение о принятии подобных мер, но информация об этом широко не фигурировала в открытых источниках», — заявил собеседник «Газеты.Ru.
«Что касается действий ФБР по принудительной установке патчей, то на моей памяти ни о чем подобном ранее известно не было, — согласился Алексей Горелкин, генеральный директор компании Phishman, эксперт в сфере кибербезопасности. — Случай, когда спецслужбы фактически взламывают ИТ-инфраструктуру организаций, — беспрецедентный. Фактически они, как и хакеры, эксплуатируют тот же набор уязвимостей и исполняют внутри инфраструктуры некий сторонний код. Это крайне своеобразная реакция на угрозу, которую, скорее всего, осудит всё мировое «айтишное» сообщество».