Федеральне бюро розcлідувань США (ФБР) вдалося до безпрецедентної акції для захисту комп’ютерів від нового шкідливого програмного забезпечення під назвою Hafnium. Вони хакають сотні комп’ютерів звичайних юзерів, щоб видалити цей вірус з машин. Для злому ФБРівці використовують оригінальні хакерські інструменти.
Реакція державного органу знадобилася після того, як постраждали десятки тисяч користувачів сервісу корпоративної електронної пошти Microsoft Exchange Server по всьому світу. Використане зловмисниками шкідливе програмне забезпечення залишає після себе низку “чорних ходів”, які дозволили б їм у майбутньому знову проникнути в скомпрометовані системи.
Фахівці ФБР використали залишені зловмисниками “чорні ходи”, щоб проникати на скомпрометовані комп’ютери та видаляти залишене шкідливе програмне забезпечення.
В агентстві назвали проведену операцію успішною. “ФБР провела видалення за допомогою команди через веб-шелл, яка була сконфігурована так, щоб видаляти лише веб-шелл”, – пояснюють у міністерстві юстиції США.
Власники серверів Microsoft Exchange Servers з великою ймовірністю не здогадуються, що їх хакнуло ФБР. Саму операцію провели з дозволу техаського суду.
Раптове втручання ФБР могло б не знадобитися, якби Microsoft та користувачі Microsoft Exchange Server швидше реагували. Останні мали більше місяця, щоб встановити патч безпеки.
У ФБР кажуть, що видалення бекдору Hafnium зупинило спробу цієї нової хакерської групи розширити свій контроль на мережі. Вперше про неї повідомили фахівці Microsoft у березні. За їхніми даними група Hafnium фінансується китайською владою. Вона використала чотири вразливості, які дозволяли отримати контроль над серверами Exchange та красти з них інформацію. Microsoft виправила вразливість, але патчі не закривали “чорні ходи” на серверах, які вже зламали. За кілька днів хакери почали атакувати ці сервери вимагачами.
