В начале этого года группа хакеров, связанных с правительством Китая и известная как Hafnium воспользовались уязвимостью в Microsoft Exchange Server . Атака позволила им получить доступ к более чем 60 000 серверов, в том числе серверов крупных корпораций и банков.
Совместимость мужчины-Дракона и женщины-Овцы
Эта атака отличается от взлома SolarWinds, от которого в прошлом году пострадали тысячи клиентов из-за бэкдора в программном обеспечении компании. В этом случае российская группа смогла использовать программное обеспечение SolarWinds, которое - при установке через обновление в клиентских сетях - позволило хакерам развернуть вредоносный код. В этом случае Microsoft работала с фирмой FireEye, занимающейся кибербезопасностью, чтобы предотвратить атаку, заблокировав домен, используемый для получения дальнейших инструкций.
Атака на Exchange Server отличалась тем, что использовала известную уязвимость безопасности, которая затронула локальные серверы обмена. Известная как атака нулевого дня, хакеры могли использовать уязвимость без какого-либо взаимодействия с пользователем и без их ведома о том, что вредоносный код был размещен на сервере. Нарушение было настолько распространенным, что администрация Байдена потребовала «реакции всего правительства».
Похоже, что Microsoft была первое уведомление о проблеме в январе , но не выпустил патч до марта. Это также был первый раз, когда проблема была публично признана. За это время хакеры получили доступ к конфиденциальной информации тысяч компаний, государственных учреждений и других организаций.
С тех пор многие смогли исправить брешь и удалить вредоносный код, известный как веб-оболочки. Однако некоторым пользователям еще предстояло предотвратить атаку. Правительство заявило, что даже если они установили патч, несколько сотен организаций не удалили веб-оболочки с зараженных серверов.
Это сделало их уязвимыми не только для первоначальных хакеров, но, как только бэкдор стал достоянием общественности, для других групп, которые воспользовались тем же эксплойтом.
В утверждение , Министерство юстиции заявило:
В течение марта Microsoft и другие отраслевые партнеры выпустили средства обнаружения, исправления и другую информацию, чтобы помочь организациям-жертвам выявить и смягчить этот киберинцидент. Кроме того, 10 марта ФБР и Агентство по кибербезопасности и безопасности инфраструктуры выпустили совместное уведомление о взломе Microsoft Exchange Server. Несмотря на эти усилия, к концу марта сотни веб-оболочек оставались на некоторых компьютерах в США, работающих под управлением Microsoft Exchange. Серверное программное обеспечение.
Совместимость знаков воздуха и воды
Теперь, с благословения Федерального суда в Хьюстоне, ФБР использует тот же набор инструментов, что и хакеры, и обращается к серверам для удаления вредоносного кода. В большинстве случаев это происходит без ведома или ведома владельца сервера.
Думаю, будет справедливо сказать, что это беспрецедентно. Федеральному правительству обычно не разрешается взламывать и удалять контент из компьютерной сети. Я не утверждаю, что то, что они сделали, было незаконным - это явно не так, отсюда постановление судьи. Тем не менее, это показывает, что федеральное правительство обладает исключительными возможностями, когда дело доходит до кибербезопасности.
Только вчера Вашингтон Пост сообщил как ФБР смогло разблокировать iPhone стрелка из Сан-Бернардино. Агентство использовало австралийскую фирму Azimuth для разработки способа доступа к устройству в центре огромной битвы между Apple и федеральными правоохранительными органами.
В случае с Exchange Server правительство посчитало, что риск дальнейшей компрометации для вовлеченных компаний требует решительных действий. «Эта санкционированная судом операция по копированию и удалению вредоносных веб-оболочек с сотен уязвимых компьютеров демонстрирует нашу приверженность использованию любых жизнеспособных ресурсов для борьбы с киберпреступниками», - заявила исполняющая обязанности прокурора США Дженнифер Б. Лоури из Южного округа Техаса.
По сути, правительство предполагает, что, если компании не предпримут шагов для защиты своей сети и устранения киберугроз, оно готово вмешаться и поиграть своими кибер-мускулами. Это означает, что если вы хотите, чтобы ФБР не вмешивалось в ваш бизнес в будущем, держите бэкдор закрытым.
