ФБР получило разрешение суда на доступ к уязвимым компьютерам в Соединенных Штатах.
Во вторник Министерство юстиции США сделало заявление, что ФБР (Федеральное Бюро Расследовани) было предоставлено разрешение получить доступ к сотням компьютеров в Соединенных Штатах, на которых установлены уязвимые версии программного обеспечения Microsoft Exchange Server, с целью удаления веб-оболочек, оставленных ранее проникавшими в ПО хакерами.
Это событие демонстрирует один из ряда наиболее активных шагов, которые правоохранительные органы могут предпринять, столкнувшись с крупномасштабными хакерскими операциями и их жертвами, не желающими или не способными быстро устранить уязвимость своих систем.
Говоря короче, ФБР получило разрешение на удаленный доступ к компьютерам с целью удаления артефактов от произошедшей ранней крупной хакерской операции, чтобы предотвратить дальнейший доступ к этим машинам со стороны хакеров.
«Министерство юстиции сегодня объявило санкционированную судом операцию по копированию и удалению вредоносных веб-оболочек с сотен уязвимых компьютеров в Соединенных Штатах, на которых установлены локальные версии программного обеспечения Microsoft Exchange Server, используемого для предоставления услуг электронной почты корпоративного уровня», — гласило официальное заявление Министерства.
Данный шаг являются ответом на серию хакерских атак начала этого года, в ходе которой использовались уязвимости в Microsoft Exchange Server. Несколько хакерских групп использовали эти недостатки безопасности для взлома серверов Exchange, в некоторых случаях целью было хищение электронной переписки жертвы. Известная Китайская хакерская группа, подозреваемая в этих атаках, опередила прочих злоумышленников, проникнув на десятки тысяч серверов Exchange. В этом случае ФБР «удалило оставшиеся веб-оболочки одной ранней хакерской группы, которые могли использоваться для поддержания и расширения постоянного несанкционированного доступа к сетям США», — говорится в официальном заявлении.
«ФБР провело удаление ПО, отправив серверу команду через веб-оболочку, которая должна была заставить сервер удалить только веб-оболочку (идентифицируемую по его уникальному пути к файлу)», — уточняется в заявлении.
Веб-оболочка — это, по сути, интерфейс, который открыли хакеры с целью связи с уязвимой системой в будущем. В заявлении говорится, что действия ФБР не включали исправление базовых систем или удаление каких-либо других дополнительных вредоносных программ.
«Удалив данные веб-оболочки, сотрудники ФБР предотвратят доступ к сервера злоумышленников посредством веб-оболочки, а так же установку на них дополнительных вредоносных программ», — говорится в судебных протоколах, опубликованных вместе с заявлением. В документах уточняется, что затронутые серверы, по-видимому, расположены в пяти или более судебных округах, включая Южный округ Техаса, округ Массачусетс, Северный округ штата Иллинойс и Северный округ штата Вирджиния.
ФБР также взяло доказательства с самих серверов и использовало пароли, уточняет документ.
«Сотрудники ФБР будут получать доступ к веб-оболочкам, вводить пароли, делать копию веб-оболочки в качестве вещественного доказательства, а затем выдавать команду через каждую из них» говорится в документах.
Помощник генерального прокурора Джон К. Демерс из Отдела Национальной Безопасности Министерства юстиции заявил в своем заявлении, что «сегодняшнее санкционированное судом удаление вредоносных веб-оболочек демонстрирует стремление министерства пресечь хакерскую деятельность с использованием всех наших юридических инструментов, а не только судебного преследования».
«Совместно с представителями частного сектора и с помощью усилий других правительственных агентств, включая выпуск средств обнаружения и патчей, мы демонстрируем силу, которую государственно-частное партнерство привносит в кибербезопасность нашей страны. Нет никаких сомнений в том, что нам предстоит еще многое сделать, но пусть не будет никаких сомнений в том, что Департамент намерен играть свою неотъемлемую и необходимую роль в таких усилиях», — добавил он.
В объявлении говорится, что ФБР предпринимает меры информирования всех владельцев пострадавших компьютеров об операции. В судебном документе, опубликованном вместе с заявлением, исполняющая обязанности прокурора США Дженнифер Б. Лоури написала, что «удаленный доступ позволит правительству предпринять разумные усилия по уведомлению некоторых жертв о производимом розыске».
В 2016 году Министерство юстиции внесло изменения в правила, регулирующие процедуру обыска, дав право мировым судьям подписывать ордера на обыск компьютеров за пределами их округа. Это было связано с расследованиями в даркнете, где физическое местонахождение объекта вредоносного ПО для правоохранительных органов может быть неизвестно, а также с целью борьбы с ботнетами.
Представитель Microsoft от комментариев отказался. Во вторник в Twitter-аккаунте Агентства национальной безопасности было опубликовано сообщение в блоге Microsoft, в котором пользователям рекомендуется устанавливать новые патч, повышающие безопасность, в том числе связанные с уязвимостями Exchange Server.
Наши серверы можно использовать для установки любой панели управления.
Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!
