ФБР получило доступ к компьютерам в США для удаления последствий взлома Microsoft Exchange

ФБР получило доступ к компьютерам в США для удаления последствий взлома Microsoft Exchange

Это пример того, какие меры могут принимать власти в случае масштабных киберопераций, когда жертвы не могут сами обновлять свои системы.

image

Во вторник, 13 апреля, Министерство юстиции объявило о получении ФБР разрешения на доступ к сотням компьютеров на территории США с уязвимыми версиями Microsoft Exchange Server с целью удаления установленных хакерами web-оболочек. Это яркий пример того, какие проактивные меры могут принимать правоохранительные органы в случае масштабных хакерских операций, когда жертвы не хотят или не могут оперативно обновлять свои системы.

Если говорить вкратце, ФБР получило от суда разрешение на доступ к компьютерам, для того чтобы удалить артефакты более ранней резонансной хакерской операции и тем самым заблокировать злоумышленникам дальнейший доступ к этим системам.

«Министерство юстиции объявило сегодня об одобренной судом операции по копированию и удалению вредоносных web-оболочек с сотен уязвимых компьютеров на территории США с локальными установками ПО Microsoft Exchange Server, предоставляющего сервис электронной почты корпоративного уровня», - говорится в заявлении Минюста.

Принятые американскими властями меры являются ответом на массовые кибератаки ранее в нынешнем году, в ходе которых эксплуатировались уязвимости в Microsoft Exchange Server, известные как ProxyLogon. Хакерские группировки всех мастей эксплуатировали их для взлома почтовых серверов с целью установки майнеров криптовалюты и кражи электронных писем. Одна из китайских киберпреступных группировок проложила путь для дальнейших атак, установив на серверах web-оболочки China Chopper.

ФБР удаляет web-оболочки путем отправки серверу команды через эту web-оболочку. Команда заставляет сервер удалять только ее (идентифицируемую по уникальному пути к файлу). Web-оболочка, по сути, - это интерфейс, открытый хакерами для связи с уязвимой системой в будущем. ФБР не исправляло сами уязвимости и не удаляло какие-либо другие дополнительные вредоносные программы.

Компания Microsoft рекомендует пользователям установить апрельские плановые исправления безопасности, в том числе исправляющие уязвимости в Exchange Server.


Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.