Pár éve már nem kell bírói engedély minden egyes szerverhez, így most egy műveletben több tízezer szerverről távolíthatták el a kínai hackerek által hagyott kiskapukat.
A Microsoft március elején jelezte, hogy egy kínai hackercsoport egy sebezhetőség segítségével Microsoft Exchange szerverek tízezreit feltörve hozzájuthatott különböző cégek tízezreinek elektronikus levelezéséhez. A redmondiak hamarosan frissítésben javították a szerverek biztonsági hibáját, de ezt nem minden célpont telepítette.
Az amerikai igazságügyminisztérium által nyilvánosságra hozott adatok szerint az FBI közbelépett a támadás visszaverésében.
A Hafnium kódnevű hackerbanda stratégiája egyszerű volt: igyekeztek megfertőzni annyi Exchange szervert, amennyit csak lehetett és legalább harmincezer rendszerbe jutottak be, ahol úgynevezett web shellt hagytak, ezek lábtörlő alatt hagyott kulcsokként funkcionáltak, hogy a támadók bármikor visszatérhessenek.
A nagyobb cégek felhőben működtetik elektronikus levelezésüket, az Exchange szervereket ezzel szemben jellemzően kis- és középvállalatok használják a telephelyeiken üzemeltetett gépeken – ezeknél a cégeknél nem mindig voltak tudatában, hogy érintett Exchange szerverük van.
Bár a Microsoft javítása nagyon sikeres volt és megakadályozta a további behatolásokat, a már telepített web shelleket nem távolította el.
Képzeljünk el egy olyan esetet, hogy egy szervezett bűnözői csoport fizikai bombákat telepített különböző ingatlanokban féltucat államban. Ha az ingatlan tulajdonosa nem elérhető, vagy távol van, nincs ott hogy cselekdjen és nincs képesítése robbanóanyagok felkutatására és eltávolítására, mit tehet az igazságügyminisztérium? Beküldi az FBI-t.
– magyarázta April Doss, az NSA egykori jogi képviselője a Wirednek.
Az amerikai bíróság így döntött, amikor felkérte az Egyesült Államok szövetségi nyomozóhivatalát, hogy lépjen be és távolítsa el a web shelleket. Technikailag nem volt nehéz a dolog: a web shellnek van egy webcíme és jelszava (ezeket az FBI partnerszervezetktől megkapta), ide belépve csak ki kellett adni a törlési parancsot.
Feltéve, hogy ezek a Microsoft Exchange szervereken csak web shell hátsóajtók voltak, ez nem volt nagy kihívás és ezzel megvédték ezeket a cégeket a további károktól
- vélekedett Steven Adair a Hafnium akcióját beazonosító Volexity alapítója.
A szakemberek fontosnak tartották megjegyezni, hogy a rendszerekre további kártevő programok is kerülhettek, amiket az FBI fókuszált művelete nem távolított el és ezekkel később ugyanígy betörhetnek ezekre a szerverekre.
A nyomozóiroda egyébként csak 2016 decembere óta indíthat ilyen akciókat - ekkor módosították a szövetségi törvényt, úgy hogy ne kelljen minden egyes szerverhez bírósági házkutatási parancsot szerezniük. A szélesebb jogköröket azóta nagyon ritkán használták, például egy botnet lebontására.
A Biden kormányzat az elmúlt hónapok hackertámadásai után aktív kibervédelmet vár, amiben az FBI-ra is komoly szerep vár. Tony Ugoretz a nyomozóiroda Kiber ügyosztályának igazgatója megerősítette, hogy minden rendelkezésükre álló eszközt felhasználnak a kiberbűnözők elleni küzdelemben.
(Wired)