Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

По решению суда: ФБР разрешили взломать компьютеры ради защиты от хакеров

ФБР принудительно удалило уязвимости Exchange Server с компьютеров в США

Федеральный окружной суд в Техасе санкционировал удаленное вмешательство ФБР в работу сотен американских серверов с целью устранения крупной уязвимости — речь идет о последствиях хакерской атаки на Microsoft Exchange Server. Таким образом, если говорить упрощенно, спецслужбы «взломали» компьютеры, чтобы их впоследствии не взломали настоящие киберпреступники. Отмечается, что этот случай может стать беспрецедентным — если ранее подобные операции и проводились, то известно о них стало только сейчас. 

ФБР США провела успешную операцию по устранению бэкдоров с сотен почтовых серверов Microsoft Exchange Server, сообщает TechCrunch со ссылкой на заявление министерства юстиции страны.

В марте нынешнего года Microsoft обнаружила атаку, которая проводила хакерская группировка Hafnium, имеющая поддержку правительства Китая. Четыре уязвимости в программе Microsoft Exchange Server позволили злоумышленникам проникнуть на сервера и похитить конфиденциальные данные. Microsoft удалось устранить уязвимости, но выпущенные компанией патчи не убрали бэкдоры на тех серверах, которые были взломаны хакерами. В результате другие хакерские группировки начали использовать уязвимые сервера, чтобы внедрять в них вирусы-вымогатели.

Ситуация могла стать критической, поэтому суд города Хьюстон разрешил ФБР удаленно подключиться к сотням американских серверов, чтобы вручную удалить оставшиеся от хакеров так называемые веб-оболочки — это вредоносный интерфейс, который позволяет выполнять определенные команды. 

«В ходе сегодняшней операции были удалены веб-оболочки [англ. web shell], которые могли быть использованы для установления постоянного неавторизованного доступа к сетям США. ФБР провело устранение с помощью команды, отправленной через веб-оболочку на сервер»,— сообщил Минюст.

В заявлении ведомства также указано, что спецагенты удалили лишь веб-оболочки, не исправив существующие уязвимости Microsoft Exchange Server и не заблокировав вредоносные программы, которые хакеры могли успеть разместить на серверах.

Сообщается, что эта операция может стать первым случаем, когда ФБР вмешалось в работу частных серверов для устранения последствий кибератак.

Hafnium — хакерская группировка, которая обнаружила и эксплуатирует четыре уязвимости нулевого дня в Microsoft Exchange Server, который широко применяется в корпоративном сегменте, рассказал «Газете.Ru» Даниил Чернов, директор центра Solar appScreener компании «Ростелеком-Солар». Найденные проблемы безопасности позволяют получить полный контроль над Exchange Server, который управляет такими сервисами, как почта, календари, задачи и др. В частности, уязвимости позволяют получить права доступа администратора к Exchange Server, благодаря чему злоумышленникам открываются большие возможности для кражи информации и проведения успешных атак.
 
«Группировка Hafnium, используя уязвимость CVE-2021-26855, отправляет HTTP-запросы через порт 443, чтобы получить доступ к локальному серверу Microsoft Exchange. Если в организации нет дополнительных мер контроля в виде правильно настроенных межсетевых экранов, злоумышленникам удается загрузить web shell через 443 порт. Впоследствии через web shell хакеры отправляют команды серверу и управляют им — web shell исполняет определенный скрипт, собирая нужные злоумышленникам данные.

Уже зафиксированы подтвержденные случаи кражи электронной почты.

При этом многие компании могут не подозревать, что их атаковали, но при внимательном изучении логов можно заметить следы передачи данных на сторонний сервер», — сообщил Чернов.

По словам эксперта, с момента обнаружения критических уязвимостей Microsoft Exchange Server прошло больше месяца, но даже сейчас далеко немногие установили обновления безопасности, несмотря на то, что специалисты Microsoft и ИБ-сообщества неоднократно обращали внимание на высокий уровень критичности уязвимостей.

«Это первый публичный случай, когда суд разрешает спецслужбам удаленно устанавливать патчи. Вполне возможно, что в закрытых судебных решениях, в частности, для защиты государственных сектора суд мог и ранее выносить решение о принятии подобных мер, но информация об этом широко не фигурировала в открытых источниках», — заявил собеседник «Газеты.Ru.

«Что касается действий ФБР по принудительной установке патчей, то на моей памяти ни о чем подобном ранее известно не было, — согласился Алексей Горелкин, генеральный директор компании Phishman, эксперт в сфере кибербезопасности. — Случай, когда спецслужбы фактически взламывают ИТ-инфраструктуру организаций, — беспрецедентный. Фактически они, как и хакеры, эксплуатируют тот же набор уязвимостей и исполняют внутри инфраструктуры некий сторонний код. Это крайне своеобразная реакция на угрозу, которую, скорее всего, осудит всё мировое «айтишное» сообщество».

Новости и материалы
ФБР сообщило о распространении ложной информации о выборах в США
Двое участников университетской банды в Приморье получили обвинения
Трамп обогнал Харрис более чем вдвое по числу голосов выборщиков
Штаб Харрис прогнозирует «месяц судебного ада» после выборов
Следствие по делу о попытке диверсии в российской воинской части завершено
Полиция предупредила о риске насилия в Вашингтоне после президентских выборов
В России подорожали морковь и яйца
Холод в офисах снижает продуктивность россиян
Трамп назвал решающий для него фактор успеха на выборах
Стали известны нюансы сюжета сиквела игры Hogwarts Legacy
Налоговый вычет можно будет оформить на «Госуслугах»
Украинский пленный рассказал о приказах командования ВСУ стрелять по своим
Пять межмуниципальных маршрутов на Сахалине перестали работать
В США стали известны данные exit poll в «колеблющихся штатах»
Трамп лидирует в одном из колеблющихся штатов США
Посольство РФ ответило на обвинения во вмешательстве в американские выборы
Потепление после ледникового периода превратило Землю в шар из грязи, выяснили ученые
Трамп опередил Харрис по числу голосов выборщиков
Все новости