Министерство юстиции США сообщило, что суд в начале апреля предоставил ФБР полномочия использовать веб-шеллы, ранее установленные хакерами на уязвимых серверах Exchange в США, и удалять вредоносное ПО (без ведома владельцев серверов). В ФБР не сообщили, сколько именно веб-шеллов было удалено, но «операция прошла успешно»

Ордер

Напомню, что корень проблемы заключается в том, что в начале марта 2021 года инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей, которым исследователи дали общее название ProxyLogon (CVE-2021-26855CVE-2021-26857CVE-2021-26858 и CVE-2021-27065). Эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные. В итоге атаки на уязвимые серверы совершали более 10 хакерских групп, разворачивая на серверах веб-шеллы, майнеры и шифровальщики.

По данным американских властей и ИБ-экспертов, китайские «правительственные» хакеры активно использовали баги ProxyLogon еще в январе и феврале 2021 года, а после придания уязвимостей огласке к ним присоединились и другие преступники.

Как сообщается теперь, некоторые из этих веб-шеллов не были должным образом защищены и повторно использовали один и тот же пароль. Этим обстоятельством и воспользовались сотрудники ФБР, чтобы удалить малварь.

«Сегодняшнее санкционированное судом удаление вредоносных веб-шеллов демонстрирует стремление Министерства юстиции пресекать хакерскую деятельность с использованием всех доступных юридических инструментов, а не только судебного преследования», — заявляют в Министерстве юстиции.

Подчеркивается, что во время операции ФБР не патчило уязвимые серверы Exchange и не пыталось обнаружить и удалить другие вредоносные программы, которые могли быть установлены в систему при помощи веб-шеллов.

«Исходя из моей подготовки и опыта, большинство жертв вряд ли удалят оставшиеся веб-шеллы самостоятельно, потому что их трудно найти из-за уникальных имен файлов и путей, а также в силу того, что жертвы не имеют технической возможности удалить их самостоятельно», — заявлял под присягой сотрудник ФБР, когда Бюро запрашивало у суда ордер.

В настоящее время ФБР уведомляет пострадавших, чьи серверы Exchange были взломаны и обнаружены во время проведения операции.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии