Федеральное бюро расследований США (ФБР) прибегло к беспрецедентной акции для защиты компьютеров от нового вредоносного программного обеспечения под названием Hafnium. Они хакают сотни компьютеров обычных пользователей, чтобы удалить вирус из машин. Для взлома ФБРовцы используют оригинальные хакерские инструменты.
Реакция государственного органа понадобилась после того, как пострадали десятки тысяч пользователей сервиса корпоративной электронной почты Microsoft Exchange Server по всему миру. Использованное злоумышленниками вредоносное программное обеспечение оставляет после себя ряд «черных ходов», которые позволили бы им в будущем снова проникнуть в скомпрометированные системы.
Специалисты ФБР использовали оставленные злоумышленниками «черные ходы», чтобы проникать на скомпрометированные компьютеры и удалять оставленное вредоносное программное обеспечение.
В агентстве назвали проведенную операцию успешной. «ФБР провела удаления с помощью команды через веб-шелл, которая была сконфигурирована так, чтобы удалять только веб-шелл», – объясняют в Министерстве юстиции США.
Владельцы серверов Microsoft Exchange Servers с большой вероятностью не догадываются, что их хакнуло ФБР. Саму операцию провели с разрешения техасского суда.
Внезапное вмешательство ФБР могло не понадобиться, если бы Microsoft и пользователи Microsoft Exchange Server быстрее реагировали. У последних было больше месяца, чтобы установить патч безопасности.
В ФБР говорят, что удаление бэкдора Hafnium остановило попытку этой новой хакерской группы расширить свой контроль на сети. Впервые о ней сообщили специалисты Microsoft в марте. По их данным, группа Hafnium финансируется китайскими властями. Она использовала четыре уязвимости, которые позволяли получить контроль над серверами Exchange и воровать с них информацию. Microsoft исправила уязвимость, но патчи не закрывали «черные ходы» на серверах, которые уже сломали. Через несколько дней хакеры начали атаковать эти серверы вымогателями.
