Газета.Ru в Telegram
Новые комментарии +

По решению суда: ФБР разрешили взломать компьютеры ради защиты от хакеров

ФБР принудительно удалило уязвимости Exchange Server с компьютеров в США

Федеральный окружной суд в Техасе санкционировал удаленное вмешательство ФБР в работу сотен американских серверов с целью устранения крупной уязвимости — речь идет о последствиях хакерской атаки на Microsoft Exchange Server. Таким образом, если говорить упрощенно, спецслужбы «взломали» компьютеры, чтобы их впоследствии не взломали настоящие киберпреступники. Отмечается, что этот случай может стать беспрецедентным — если ранее подобные операции и проводились, то известно о них стало только сейчас. 

ФБР США провела успешную операцию по устранению бэкдоров с сотен почтовых серверов Microsoft Exchange Server, сообщает TechCrunch со ссылкой на заявление министерства юстиции страны.

В марте нынешнего года Microsoft обнаружила атаку, которая проводила хакерская группировка Hafnium, имеющая поддержку правительства Китая. Четыре уязвимости в программе Microsoft Exchange Server позволили злоумышленникам проникнуть на сервера и похитить конфиденциальные данные. Microsoft удалось устранить уязвимости, но выпущенные компанией патчи не убрали бэкдоры на тех серверах, которые были взломаны хакерами. В результате другие хакерские группировки начали использовать уязвимые сервера, чтобы внедрять в них вирусы-вымогатели.

Ситуация могла стать критической, поэтому суд города Хьюстон разрешил ФБР удаленно подключиться к сотням американских серверов, чтобы вручную удалить оставшиеся от хакеров так называемые веб-оболочки — это вредоносный интерфейс, который позволяет выполнять определенные команды. 

«В ходе сегодняшней операции были удалены веб-оболочки [англ. web shell], которые могли быть использованы для установления постоянного неавторизованного доступа к сетям США. ФБР провело устранение с помощью команды, отправленной через веб-оболочку на сервер»,— сообщил Минюст.

В заявлении ведомства также указано, что спецагенты удалили лишь веб-оболочки, не исправив существующие уязвимости Microsoft Exchange Server и не заблокировав вредоносные программы, которые хакеры могли успеть разместить на серверах.

Сообщается, что эта операция может стать первым случаем, когда ФБР вмешалось в работу частных серверов для устранения последствий кибератак.

Hafnium — хакерская группировка, которая обнаружила и эксплуатирует четыре уязвимости нулевого дня в Microsoft Exchange Server, который широко применяется в корпоративном сегменте, рассказал «Газете.Ru» Даниил Чернов, директор центра Solar appScreener компании «Ростелеком-Солар». Найденные проблемы безопасности позволяют получить полный контроль над Exchange Server, который управляет такими сервисами, как почта, календари, задачи и др. В частности, уязвимости позволяют получить права доступа администратора к Exchange Server, благодаря чему злоумышленникам открываются большие возможности для кражи информации и проведения успешных атак.
 
«Группировка Hafnium, используя уязвимость CVE-2021-26855, отправляет HTTP-запросы через порт 443, чтобы получить доступ к локальному серверу Microsoft Exchange. Если в организации нет дополнительных мер контроля в виде правильно настроенных межсетевых экранов, злоумышленникам удается загрузить web shell через 443 порт. Впоследствии через web shell хакеры отправляют команды серверу и управляют им — web shell исполняет определенный скрипт, собирая нужные злоумышленникам данные.

Уже зафиксированы подтвержденные случаи кражи электронной почты.

При этом многие компании могут не подозревать, что их атаковали, но при внимательном изучении логов можно заметить следы передачи данных на сторонний сервер», — сообщил Чернов.

По словам эксперта, с момента обнаружения критических уязвимостей Microsoft Exchange Server прошло больше месяца, но даже сейчас далеко немногие установили обновления безопасности, несмотря на то, что специалисты Microsoft и ИБ-сообщества неоднократно обращали внимание на высокий уровень критичности уязвимостей.

«Это первый публичный случай, когда суд разрешает спецслужбам удаленно устанавливать патчи. Вполне возможно, что в закрытых судебных решениях, в частности, для защиты государственных сектора суд мог и ранее выносить решение о принятии подобных мер, но информация об этом широко не фигурировала в открытых источниках», — заявил собеседник «Газеты.Ru.

«Что касается действий ФБР по принудительной установке патчей, то на моей памяти ни о чем подобном ранее известно не было, — согласился Алексей Горелкин, генеральный директор компании Phishman, эксперт в сфере кибербезопасности. — Случай, когда спецслужбы фактически взламывают ИТ-инфраструктуру организаций, — беспрецедентный. Фактически они, как и хакеры, эксплуатируют тот же набор уязвимостей и исполняют внутри инфраструктуры некий сторонний код. Это крайне своеобразная реакция на угрозу, которую, скорее всего, осудит всё мировое «айтишное» сообщество».

Новости и материалы
В Минздраве назвали число находящихся в стационарах после теракта в «Крокусе»
Ксения Собчак показала редкие кадры с подросшим сыном от Максима Виторгана
Названы факторы риска быстрого старения мозга
Вратарь «Тампы» Василевский побил достижение Гашека
Полиция разыскивала тело Гуфа, но он оказался жив
Обвиняемого в терроризме в «Крокусе» Файзова могут перевести из СИЗО Лефортово
Певица МакSим с детьми улетела из России
В России появится первая соцсеть для автомобилистов
В Ульяновске сотрудники ФСБ провели обыски в кабинете замминистра ЖКХ
«Зениту» предрекли трудности в игре с «Крыльями Советов»
Пассажирка такси избила водителя ногами и попала на видео
Пашинян высказался о правительстве Карабаха в изгнании
Журова сомневается, что российские атлеты поедут в Париж на Олимпиаду
Анна Семенович ответила, делала ли ринопластику
Красноярский бар оштрафовали после жалобы Мизулиной
Королева Камилла рассказала о самочувствии Кейт Миддлтон на фоне рака
Шрёдер заявил, что его дружба с Путиным может помочь разрешить конфликт на Украине
Жена шеф-повара Ивлева упала на лестнице с ребенком на руках
Все новости