14/04/21
Во вторник, 13 апреля, Министерство юстиции объявило о получении ФБР разрешения на доступ к сотням компьютеров на территории США с уязвимыми версиями Microsoft Exchange Server с целью удаления установленных хакерами web-оболочек. Это яркий пример того, какие проактивные меры могут принимать правоохранительные органы в случае масштабных хакерских операций, когда жертвы не хотят или не могут оперативно обновлять свои системы.
Если говорить вкратце, ФБР получило от суда разрешение на доступ к компьютерам, для того чтобы удалить артефакты более ранней резонансной хакерской операции и тем самым заблокировать злоумышленникам дальнейший доступ к этим системам.
«Министерство юстиции объявило сегодня об одобренной судом операции по копированию и удалению вредоносных web-оболочек с сотен уязвимых компьютеров на территории США с локальными установками ПО Microsoft Exchange Server, предоставляющего сервис электронной почты корпоративного уровня», - говорится в заявлении Минюста.
Принятые американскими властями меры являются ответом на массовые кибератаки ранее в нынешнем году, в ходе которых эксплуатировались уязвимости в Microsoft Exchange Server, известные как ProxyLogon. Хакерские группировки всех мастей эксплуатировали их для взлома почтовых серверов с целью установки майнеров криптовалюты и кражи электронных писем. Одна из китайских киберпреступных группировок проложила путь для дальнейших атак, установив на серверах web-оболочки China Chopper.
ФБР удаляет web-оболочки путем отправки серверу команды через эту web-оболочку. Команда заставляет сервер удалять только ее (идентифицируемую по уникальному пути к файлу). Web-оболочка, по сути, - это интерфейс, открытый хакерами для связи с уязвимой системой в будущем. ФБР не исправляло сами уязвимости и не удаляло какие-либо другие дополнительные вредоносные программы.
Компания Microsoft рекомендует пользователям установить апрельские плановые исправления безопасности, в том числе исправляющие уязвимости в Exchange Server.
