По решению суда: ФБР разрешили взломать компьютеры ради защиты от хакеров

Материалы не попавшие на сайт мы выкладываем в нашей Viber-группе и Telegram-канале. Обязательно проверь!

Федеральный окружной суд в Техасе санкционировал удаленное вмешательство ФБР в работу сотен американских серверов с целью устранения крупной уязвимости — речь идет о последствиях хакерской атаки на Microsoft Exchange Server. Таким образом, если говорить упрощенно, спецслужбы «взломали» компьютеры, чтобы их впоследствии не взломали настоящие киберпреступники. Отмечается, что этот случай может стать беспрецедентным — если ранее подобные операции и проводились, то известно о них стало только сейчас.

ФБР разрешили взломать компьютеры ради защиты от хакеровФото: ReutersReuters

ФБР США провела успешную операцию по устранению бэкдоров с сотен почтовых серверов Microsoft Exchange Server, сообщает TechCrunch со ссылкой на заявление министерства юстиции страны.

В марте нынешнего года Microsoft обнаружила атаку, которая проводила хакерская группировка Hafnium, имеющая поддержку правительства Китая. Четыре уязвимости в программе Microsoft Exchange Server позволили злоумышленникам проникнуть на сервера и похитить конфиденциальные данные. Microsoft удалось устранить уязвимости, но выпущенные компанией патчи не убрали бэкдоры на тех серверах, которые были взломаны хакерами. В результате другие хакерские группировки начали использовать уязвимые сервера, чтобы внедрять в них вирусы-вымогатели.

Ситуация могла стать критической, поэтому суд города Хьюстон разрешил ФБР удаленно подключиться к сотням американских серверов, чтобы вручную удалить оставшиеся от хакеров так называемые веб-оболочки — это вредоносный интерфейс, который позволяет выполнять определенные команды.

В заявлении ведомства также указано, что спецагенты удалили лишь веб-оболочки, не исправив существующие уязвимости Microsoft Exchange Server и не заблокировав вредоносные программы, которые хакеры могли успеть разместить на серверах.

Сообщается, что эта операция может стать первым случаем, когда ФБР вмешалось в работу частных серверов для устранения последствий кибератак.

Hafnium — хакерская группировка, которая обнаружила и эксплуатирует четыре уязвимости нулевого дня в Microsoft Exchange Server, который широко применяется в корпоративном сегменте, рассказал «Газете.Ru» Даниил Чернов, директор центра Solar appScreener компании «Ростелеком-Солар». Найденные проблемы безопасности позволяют получить полный контроль над Exchange Server, который управляет такими сервисами, как почта, календари, задачи и др. В частности, уязвимости позволяют получить права доступа администратора к Exchange Server, благодаря чему злоумышленникам открываются большие возможности для кражи информации и проведения успешных атак.

«Группировка Hafnium, используя уязвимость CVE-2021-26855, отправляет HTTP-запросы через порт 443, чтобы получить доступ к локальному серверу Microsoft Exchange. Если в организации нет дополнительных мер контроля в виде правильно настроенных межсетевых экранов, злоумышленникам удается загрузить web shell через 443 порт. Впоследствии через web shell хакеры отправляют команды серверу и управляют им — web shell исполняет определенный скрипт, собирая нужные злоумышленникам данные.

Уже зафиксированы подтвержденные случаи кражи электронной почты.

При этом многие компании могут не подозревать, что их атаковали, но при внимательном изучении логов можно заметить следы передачи данных на сторонний сервер», — сообщил Чернов.

По словам эксперта, с момента обнаружения критических уязвимостей Microsoft Exchange Server прошло больше месяца, но даже сейчас далеко немногие установили обновления безопасности, несмотря на то, что специалисты Microsoft и ИБ-сообщества неоднократно обращали внимание на высокий уровень критичности уязвимостей.

«Что касается действий ФБР по принудительной установке патчей, то на моей памяти ни о чем подобном ранее известно не было, — согласился Алексей Горелкин, генеральный директор компании Phishman, эксперт в сфере кибербезопасности. — Случай, когда спецслужбы фактически взламывают ИТ-инфраструктуру организаций, — беспрецедентный. Фактически они, как и хакеры, эксплуатируют тот же набор уязвимостей и исполняют внутри инфраструктуры некий сторонний код. Это крайне своеобразная реакция на угрозу, которую, скорее всего, осудит всё мировое «айтишное» сообщество».

Источник

Только что написал(а)
смотреть