L’FBI sta hackerando in remoto centinaia di computer per proteggerli dall’afnio

In quella che si ritiene essere una mossa senza precedenti, l’FBI sta cercando di proteggere centinaia di computer infettati dall’hafnium hack di hackerandoli da sé, utilizzando gli strumenti degli hacker originali (tramite TechCrunch).

L’hacking, che ha colpito decine di migliaia di clienti di Microsoft Exchange Server in tutto il mondo e ha innescato una “risposta dell’intero governo” dalla Casa Bianca, secondo quanto riferito, ha lasciato una serie di backdoor che potrebbero consentire a un numero qualsiasi di hacker di entrare nuovamente in quei sistemi. Ora, l’FBI ne ha approfittato utilizzando gli stessi web shell / backdoor per cancellarsi da remoto, un’operazione che l’agenzia definisce un successo.

“L’FBI ha condotto la rimozione inviando un comando tramite la shell web al server, che era progettato per far sì che il server eliminasse solo la shell web (identificata dal suo percorso file univoco)”, spiega il Dipartimento di Giustizia degli Stati Uniti.

La parte selvaggia qui è che i proprietari di questi server Microsoft Exchange probabilmente non sono ancora a conoscenza del coinvolgimento dell’FBI; il Dipartimento di Giustizia dice che sta semplicemente “tentando di fornire avviso” ai proprietari che hanno tentato di assistere. Sta facendo tutto questo con la piena approvazione di un tribunale del Texas, secondo l’agenzia. È possibile leggere il mandato di perquisizione e sequestro non sigillato e l’applicazione giusto qui.

Sarà interessante vedere se questo crea un precedente per le future risposte a importanti hack come Hafnium. Anche se personalmente sono indeciso, è facile sostenere che l’FBI sta facendo un servizio al mondo rimuovendo una minaccia come questa – mentre Microsoft potrebbe essere stata dolorosamente lenta con la sua risposta iniziale, i clienti di Microsoft Exchange Server ora hanno anche avuto molto mese per applicare la patch ai propri server dopo diversi avvisi critici. Mi chiedo quanti clienti si arrabbieranno e quanti saranno grati che l’FBI, non qualche altro hacker, abbia approfittato della porta aperta. Sappiamo che le infrastrutture governative critiche ma locali spesso hanno pratiche di sicurezza eclatanti, che più recentemente hanno portato alla manomissione di due forniture di acqua potabile locali.

L’FBI afferma che migliaia di sistemi sono stati patchati dai loro proprietari prima che iniziasse la sua operazione di rimozione remota della backdoor di Hafnium e che ha rimosso solo “rimosso le shell web rimanenti di uno dei primi gruppi di hacker che avrebbero potuto essere utilizzate per mantenere e intensificare l’accesso persistente e non autorizzato a Reti statunitensi. “

“L’odierna rimozione autorizzata dal tribunale delle shell web dannose dimostra l’impegno del Dipartimento a interrompere l’attività di pirateria informatica utilizzando tutti i nostri strumenti legali, non solo procedimenti giudiziari”, si legge in una dichiarazione dell’assistente procuratore generale John C. Demers, con la divisione per la sicurezza nazionale del Dipartimento di giustizia .

Oggi è il Patch Tuesday, a proposito, e l’aggiornamento per la sicurezza di Microsoft dell’aprile 2021 include nuove mitigazioni per le vulnerabilità di Exchange Server, secondo CISA. Se stai utilizzando un server Exchange locale o conosci qualcuno che lo è, dai un’occhiata.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *