ФБР зламало сервери Microsoft Exchange, щоб захистити їх від злому
Працівники ФБР примусово видалили з серверів створені хакерами з китайського угруповання Hafnium шкідливі файли
Міністерство юстиції США оголосило про проведену Федеральним бюро розслідувань (ФБР) операції з видалення шкідливих файлів (скриптів) з сотень серверних комп'ютерів під управлінням програмного забезпечення (ПО) Microsoft Exchange Server. Про це із посиланням на повідомлення Мін'юсту, повідомляє Forbes.
Вразливістю в Microsoft Exchange Server скористалися хакерські угрупування, щоб розмістити на них власне шкідливе ПО (скрипти), яке дозволяло їм здійснювати віддалене адміністрування комп'ютерами. Саме ці скрипти і видалялися в ході операції, проведеної ФБР з санкції суду у вівторок, 13 квітня.
«Сьогоднішня операція видалила веб-оболонки, що залишилися після однієї з ранніх хакерських груп, які могли використовуватися для підтримки і ескалації постійного несанкціонованого доступу до американських мереж. ФБР провело видалення, видавши команду через веб-оболонку на сервер, яка була розроблена, щоб змусити сервер видалити тільки веб-оболонку (ідентифіковану по її унікальному шляху до файлу)», – йдеться в повідомленні Міністерства.
Мін’юст також наголошує, що операція з видалення шкідливих файлів пройшла успішно. В її ході не виправлялись жодні вразливості Microsoft Exchange Server та не видалялися інші шкідливі програми або інструменти, які хакери могли розмістити, використовуючи свій доступ до мереж і серверів.
ФБР заявила, що повідомить власників і операторів серверів про видалення файлів хакерів, але рекомендує постачальникам послуг, наприклад, провайдерам, повідомити користувачів контактами, яких вона не володіє, а самих користувачів звернутися в місцеве відділення ФБР, якщо їх комп'ютер був скомпрометований.
На початку минулого місяця Microsoft оголосила, що хакери використовували декілька вразливостей ПЗ Microsoft Exchange Server для установки веб-оболонок на тисячі комп'ютерів, в тому числі в Сполучених Штатах. Файли, які примусово видалила ФБР, могли бути занадто складними для виявлення і усунення окремими власниками серверів. До кінця березня сотні файлів залишалися на деяких комп'ютерах з Exchange Server.
За повідомленням компанії, хакерське угруповання Hafnium, що базується в Китаї і підтримується державою, атакувала компанії і структури у сфері юридичних послуг, вищої освіти, дослідження інфекційних хвороб, оборонних підрядників, аналітичні центри та некомерційні організації. Хакери отримали доступ до сервера Exchange, використовуючи вразливі місця, створювали шкідливий скрипт для віддаленого управління зламаним сервером, після чого використовували цей доступ з приватних виділених серверів в США і викрадали дані. Microsoft відразу ж випустила оновлення для захисту користувачів Exchange Server.
Якщо ви дочитали цей матеріал до кінця, ми сподіваємось, що це значить, що він був корисним для вас.
Ми працюємо над тим, аби наша журналістська та аналітична робота була якісною, і прагнемо виконувати її максимально компетентно. Це вимагає і фінансової незалежності.
Станьте підписником Mind всього за 196 грн на місяць та підтримайте розвиток незалежної ділової журналістики!
Ви можете скасувати підписку у будь-який момент у власному кабінеті LIQPAY, або написавши нам на адресу: [email protected].
