Суд в Хьюстоне санкционировал операцию ФБР по «копированию и удалению» бэкдоров с почтовых серверов Microsoft Exchange в США. Операцию минюст назвал успешной.
В марте Microsoft сообщила об атаке на серверы Exchange, за которой, по сведениям компании, стояла хакерская группировка Hafnium. Объединенные в цепочку четыре уязвимости нулевого дня позволили хакерам проникнуть на сервер Exchange и украсть его содержимое. Microsoft устранила уязвимости, но патчи не закрыли бэкдоры взломанных серверов. Через несколько дней другие хакерские группы начали атаковать серверы, используя те же уязвимости и пытаясь установить программы-вымогатели.
Количество зараженных серверов снизилось по мере внесения исправлений. Но сотни серверов Exchange остались уязвимыми, поскольку не все владельцы смогли найти и устранить вредоносные веб-оболочки, говорится в заявлении Министерства юстиции США. ФБР воспользовалось оставленными бэкдорами, чтобы удалить их.
«ФБР провело удаление, отправив серверу команду через веб-оболочку, которая должна была заставить сервер удалить только веб-оболочку (идентифицируемую по его уникальному пути к файлу)», — поясняет Министерство юстиции США.
Не все владельцы серверов Microsoft Exchange осведомлены об операции; Министерство юстиции заявляет, пытается сообщить владельцам по электронной почте о работе бюро. Помощник генерального прокурора Джон Демерс сказал, что эта операция «демонстрирует стремление Департамента пресечь хакерскую деятельность с использованием всех доступных юридических инструментов, а не только судебного преследования».
Министерство юстиции также заявило, что операция только удалила бэкдоры, но не исправила уязвимости, использованные хакерами, и не удалила оставшееся вредоносное ПО.
Считается, что это первый известный случай, когда ФБР эффективно очищает частные сети после кибератаки. В 2016 году Верховный суд разрешил судьям США выдавать ордера на операции подобного рода за пределами своего округа. Критики этой инициативы опасались, что ФБР может обратиться в дружественный суд с просьбой разрешить кибероперации в любой точке мира.
