La începutul acestui an, un grup de hackeri asociați cu guvernul chinez și cunoscut sub numele de Hafnium a exploatat o vulnerabilitate în Microsoft Exchange Server . Atacul le-a permis accesul la peste 60.000 de servere, inclusiv la cele ale marilor corporații și bănci.
Acest atac este separat de hack-ul SolarWinds, care a afectat mii de clienți anul trecut, printr-o vulnerabilitate de backdoor în software-ul companiei. În acest caz, un grup rus a reușit să descopere software-ul SolarWinds, care - atunci când a fost instalat printr-o actualizare pe rețelele de clienți - a permis hackerilor să implementeze coduri rău intenționate. În acest caz, Microsoft a lucrat cu firma de securitate cibernetică FireEye pentru a întrerupe atacul prin scufundarea domeniului folosit pentru a primi instrucțiuni suplimentare.
Atacul Exchange Server a fost diferit, prin faptul că a profitat de un defect de securitate cunoscut care a afectat serverele de schimb locale. Cunoscut ca un atac de zi zero, hackerii au reușit să exploateze vulnerabilitatea fără nicio interacțiune din partea utilizatorului și fără ca aceștia să știe că codul rău intenționat a fost plasat pe server. Încălcarea a fost atât de răspândită încât administrația Biden a solicitat un „răspuns întreg al guvernului”.
Se pare că Microsoft a fost prima notificare a problemei în ianuarie , dar nu a lansat un patch până în martie. Aceasta a fost, de asemenea, prima dată când problema a fost recunoscută public. În acea perioadă, hackerii au avut acces la informații sensibile la mii de companii, agenții guvernamentale și alte organizații.
De atunci, mulți au reușit să remedieze defectul și să elimine codul rău intenționat, cunoscut sub numele de web shells. Cu toate acestea, unii utilizatori nu au trebuit să atenueze atacul. Chiar dacă au instalat patch-ul, guvernul a spus că câteva sute de organizații nu au eliminat shell-urile web de pe serverele infectate.
Acest lucru i-a lăsat vulnerabili nu numai față de hackerii originali, ci, odată ce backdoor-ul a devenit public, față de alte grupuri care au profitat de același exploat.
Într-o afirmație , Departamentul Justiției a spus:
Pe tot parcursul lunii martie, Microsoft și alți parteneri din industrie au lansat instrumente de detectare, patch-uri și alte informații pentru a ajuta entitățile victime să identifice și să atenueze acest incident cibernetic. În plus, FBI și Agenția pentru Securitate Cibernetică și Infrastructură au lansat un Consiliu comun privind compromisul Microsoft Exchange Server pe 10 martie. În ciuda acestor eforturi, până la sfârșitul lunii martie, sute de shell-uri web au rămas pe anumite computere din Statele Unite care rulează Microsoft Exchange Software de server.
Acum, cu binecuvântarea unui tribunal federal din Houston, FBI folosește același set de instrumente utilizate de hackeri și accesează servere pentru a elimina codul rău intenționat. În majoritatea cazurilor, acest lucru se întâmplă fără știrea sau conștientizarea proprietarului serverului.
Cred că este corect să spunem că acest lucru este fără precedent. Guvernului federal nu i se permite de obicei să pătrundă și să elimine conținut dintr-o rețea de calculatoare. Nu sugerez că ceea ce au făcut a fost ilegal - în mod clar nu a fost, de unde și ordinul unui judecător. Totuși, arată că guvernul federal are capacități extraordinare în ceea ce privește securitatea cibernetică.
Doar ieri Washington Post raportat modul în care FBI a reușit să deblocheze iPhone-ul shooterului San Bernardino. Agenția a folosit o firmă australiană, Azimuth, pentru a dezvolta o modalitate de a accesa dispozitivul în centrul unei imense bătălii dintre Apple și forțele de ordine federale.
În cazul Exchange Server, guvernul a considerat că riscul unui compromis suplimentar pentru companiile implicate justifica acțiuni drastice. „Această operațiune autorizată de instanță de copiere și eliminare a paginilor web rău intenționate de la sute de computere vulnerabile arată angajamentul nostru de a folosi orice resursă viabilă pentru a lupta împotriva criminalilor cibernetici”, a declarat procurorul american în funcție Jennifer B. Lowery din districtul sudic Texas.
cati ani are Mario Chalmers
În esență, guvernul sugerează că, dacă companiile nu vor lua măsuri pentru a-și proteja rețeaua și a elimina amenințările cibernetice, este dispus să intervină și să își flexeze proprii mușchi cibernetici. Asta înseamnă că, dacă doriți să păstrați FBI în afara afacerii dvs. în viitor, păstrați ușa din spate închisă.
