ФБР получил доступ к любому компьютеру в США, чтобы устранить взломы Microsoft Exchange

Автор оригинала: Joseph Cox
  • Перевод

ФБР получило разрешение суда на доступ к уязвимым компьютерам в Соединенных Штатах.

Во вторник Министерство юстиции США сделало заявление, что ФБР (Федеральное Бюро Расследовани) было предоставлено разрешение получить доступ к сотням компьютеров в Соединенных Штатах, на которых установлены уязвимые версии программного обеспечения Microsoft Exchange Server, с целью удаления веб-оболочек, оставленных ранее проникавшими в ПО хакерами.

Это событие демонстрирует один из ряда наиболее активных шагов, которые правоохранительные органы могут предпринять, столкнувшись с крупномасштабными хакерскими операциями и их жертвами, не желающими или не способными быстро устранить уязвимость своих систем.

Говоря короче, ФБР получило разрешение на удаленный доступ к компьютерам с целью удаления артефактов от произошедшей ранней крупной хакерской операции, чтобы предотвратить дальнейший доступ к этим машинам со стороны хакеров.


«Министерство юстиции сегодня объявило санкционированную судом операцию по копированию и удалению вредоносных веб-оболочек с сотен уязвимых компьютеров в Соединенных Штатах, на которых установлены локальные версии программного обеспечения Microsoft Exchange Server, используемого для предоставления услуг электронной почты корпоративного уровня», — гласило официальное заявление Министерства.

Данный шаг являются ответом на серию хакерских атак начала этого года, в ходе которой использовались уязвимости в Microsoft Exchange Server. Несколько хакерских групп использовали эти недостатки безопасности для взлома серверов Exchange, в некоторых случаях целью было хищение электронной переписки жертвы. Известная Китайская хакерская группа, подозреваемая в этих атаках, опередила прочих злоумышленников, проникнув на десятки тысяч серверов Exchange. В этом случае ФБР «удалило оставшиеся веб-оболочки одной ранней хакерской группы, которые могли использоваться для поддержания и расширения постоянного несанкционированного доступа к сетям США», — говорится в официальном заявлении.

«ФБР провело удаление ПО, отправив серверу команду через веб-оболочку, которая должна была заставить сервер удалить только веб-оболочку (идентифицируемую по его уникальному пути к файлу)», — уточняется в заявлении.

Веб-оболочка — это, по сути, интерфейс, который открыли хакеры с целью связи с уязвимой системой в будущем. В заявлении говорится, что действия ФБР не включали исправление базовых систем или удаление каких-либо других дополнительных вредоносных программ.



«Удалив данные веб-оболочки, сотрудники ФБР предотвратят доступ к сервера злоумышленников посредством веб-оболочки, а так же установку на них дополнительных вредоносных программ», — говорится в судебных протоколах, опубликованных вместе с заявлением. В документах уточняется, что затронутые серверы, по-видимому, расположены в пяти или более судебных округах, включая Южный округ Техаса, округ Массачусетс, Северный округ штата Иллинойс и Северный округ штата Вирджиния.

ФБР также взяло доказательства с самих серверов и использовало пароли, уточняет документ.

«Сотрудники ФБР будут получать доступ к веб-оболочкам, вводить пароли, делать копию веб-оболочки в качестве вещественного доказательства, а затем выдавать команду через каждую из них» говорится в документах.

Помощник генерального прокурора Джон К. Демерс из Отдела Национальной Безопасности Министерства юстиции заявил в своем заявлении, что «сегодняшнее санкционированное судом удаление вредоносных веб-оболочек демонстрирует стремление министерства пресечь хакерскую деятельность с использованием всех наших юридических инструментов, а не только судебного преследования».

«Совместно с представителями частного сектора и с помощью усилий других правительственных агентств, включая выпуск средств обнаружения и патчей, мы демонстрируем силу, которую государственно-частное партнерство привносит в кибербезопасность нашей страны. Нет никаких сомнений в том, что нам предстоит еще многое сделать, но пусть не будет никаких сомнений в том, что Департамент намерен играть свою неотъемлемую и необходимую роль в таких усилиях», — добавил он.

В объявлении говорится, что ФБР предпринимает меры информирования всех владельцев пострадавших компьютеров об операции. В судебном документе, опубликованном вместе с заявлением, исполняющая обязанности прокурора США Дженнифер Б. Лоури написала, что «удаленный доступ позволит правительству предпринять разумные усилия по уведомлению некоторых жертв о производимом розыске».

В 2016 году Министерство юстиции внесло изменения в правила, регулирующие процедуру обыска, дав право мировым судьям подписывать ордера на обыск компьютеров за пределами их округа. Это было связано с расследованиями в даркнете, где физическое местонахождение объекта вредоносного ПО для правоохранительных органов может быть неизвестно, а также с целью борьбы с ботнетами.

Представитель Microsoft от комментариев отказался. Во вторник в Twitter-аккаунте Агентства национальной безопасности было опубликовано сообщение в блоге Microsoft, в котором пользователям рекомендуется устанавливать новые патч, повышающие безопасность, в том числе связанные с уязвимостями Exchange Server.



Наши серверы можно использовать для установки любой панели управления.
Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!

Маклауд
Облачные серверы на базе AMD EPYC

Комментарии 25

    +6
    А если у меня торчит уязвимый сервер в качестве ханипота, они мне его тоже починят? Без спроса?
      0
      конечно. А что делать нашим доморощенным корпорастам, у которых вся инфраструктура на МС технологиях? Вежливо просить ФБР не трогать данные?
        +2
        читайте не желтушную статью, а оригинал. Там перечислены сервера, к которым это относится.
        +16
        Название статьи — огонь, конечно.
        «ФБР получил доступ к любому компьютеру в США, чтобы устранить взломы Microsoft Exchange»

        «The Justice Department today announced a court-authorized operation to copy and remove malicious web shells from hundreds of vulnerable computers in the United States running on-premises versions of Microsoft Exchange Server software used to provide enterprise-level e-mail service,»

        Потом тупо в оригинал тут www.justice.gov/opa/press-release/file/1386631/download, страница 16 там перечислены один за одним сервера, на которых что-то надо делать.

        Это никак не «ФБР получил доступ к любому компьютеру в США».
          +23
          По-моему, нужно вводить кнопку «пожаловатся» с пунктами типа «дезинформация», «заголовок не соответствует статьи» и т.д. Так как достали копипасты и кривые переводы с желтушными заголовками в последнее время которые заполонили хабр. Даже если оригиналы с таким названием.
            +3
            Дык тогда тут статей не останется.
              0
              Другие появятся, свято место пусто не бывает.
              Но поначалу то, да. :)
              0
              4.2 на хабре. :)
                +2
                У вас есть для этого инструменты — карма автора. Потому что это такой заголовок — именно его сознательное творение. Люди должны понимать, что или уж если переводишь, то переводи нормально, если не умеешь переводить — лучше и не берись, а если сознательно фейки создаёшь — будь готов получить и расписаться.
                +1
                Но с таким прецедентом, у них и правда будет возможность в будущем получить доступ к любому компьютеру… (будто у них и так его нет).
                  0
                  Ну да, это другое.
                    0
                    «Remaining pages of Attachment A are redacted in their entirety», плюс общее количество страниц приложения А затерто. Т.е. мы не знаем, сколько в этом списке было страниц (и серверов).
                      +1
                      Написано: сотни. Это не как не «любые» или «все», а по списку.
                        0

                        Ну, сути претензий к автору это не меняет, если внизу последней пропущенной страницы со списком нет чего-то вроде "а также при необходимости любой другой сервер", то есть конечный список превращается в бесконечный. Но такие кунштюки практически нереальны в американской судебной системе. Есть миллион менее параноидальных версий этой скрытности — например, публиковать список заражённых серверов, которые ты прямо сейчас не можешь починить (другая разновидность трояна, или тупо c&c известного трояна ещё не угнан тобой у хакеров, чтобы перехватить контроль) — это привлекать горе-хакеров, которые в ту же дыру на этих серверах полезут.

                      +5
                      Такая явная желтизна в заголовке, хоть бы фантазию проявили что ли
                        +3
                        <paranoia_mode>

                        Инструкция для легального (чтобы, например, можно было в качестве улик/доказательств в суде использовать) получения приватной информации:
                        — идём к <производитель_софта>, требуем бэкдор
                        — пользуемся бэкдором
                        — поднимаем в СМИ шум: «злобные хакеры всех похакали»
                        — получаем решение суда «можно лазить по таким-то компьютерам»
                        — на «нужных» компьютерах «случайно» обнаруживаем требуемую нам информацию

                        </paranoia_mode>
                          +1
                          оставляем на компах текстовые файлики с именами KGB PUTIN и бежим рассказывать в новостях об «очередном взломе русских хакеров»
                          0
                          Что-то мне подсказывает, что с такой работой мог бы справится любой наёмный компьютерный инженер в том числе обслуживающий компанию специалист(наёмный или штатный), но почему-то решили привлечь к этому делу высокооплачиваемых специалистов ФБР. Ох не спроста это…
                            +1
                            Так меры принимаются именно из-за того, что не все компании закрыли дыры, хотя все средства для этого доступны. Теперь используют доступ извне для закрытия проблем. Так конечно в принципе может сделать кто угодно, но чтобы это сделать законно и гарантировать, что не будет сделано ничего другого, подключили ФБР, как тех, кому положено.
                              0
                              А доступ ФБР к серверам за пределами США точно законен? КМК АНБ на эту роль больше подходит
                                0
                                Там и разрешения спрашивать не надо.
                              0
                              А что, любой инженер может осуществить сбор юридически значимой доказательной базы? Если что, выше привели ссылку на судебное решение, там есть страница 4.
                              0
                              Ну да, рассказали про Exchange, а будут шариться везде по полной включая бекдоры типа Intel MEI теперь на законных основаниях без решения суда. Кроме прочего, еще вопрос сколько они серваков уронят в процессе т.н. лечения.
                                0
                                Прочитать само судебное решение и ордер — вообще никак, да?
                                  –1
                                  Включить в своей пустой голове остатки мозга вообще никак да?

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое