Министерство юстиции США санкционировал операцию ФБР по «копированию и удалению» бэкдоров с сотен почтовых серверов Microsoft Exchange, после того как эта уязвимость была использована для атаки на тысячи сетей в США.

Как отмечает TechCrunch, ФБР использует те же веб-оболочки и бэкдоры, что и хакеры, для удаленного удаления уязвимостей.


Уязвимость Microsoft Exchange Server

В марте Microsoft обнаружила новую хакерскую группу Hafnium, которая занималась атаками на серверы Exchange, запускаемые из сетей компании. Объединенные в цепочку четыре уязвимости позволили хакерам проникнуть на уязвимый сервер Exchange и украсть его содержимое.

Microsoft устранила уязвимости, но патчи не закрыли бэкдоры с серверов, которые уже были взломаны. Через несколько дней другие хакерские группы начали атаковать уязвимые серверы с теми же недостатками, чтобы развернуть программы-вымогатели.

Количество зараженных серверов снизилось по мере установки исправлений. Но сотни серверов Exchange остаются уязвимыми, поскольку бэкдоры трудно найти и устранить, говорится в заявлении Министерства юстиции США.

ФБР использует те же уязвимости для защиты сетей

ФБР использует те же веб-оболочки и бэкдоры, для удаленного удаления уязвимостей. При этом ФБР пытается сообщить владельцам серверов по электронной почте о серверах, с которых были удалены бэкдоры.

«Эта операция удалила оставшиеся веб-оболочки одной хакерской группы, которые могли использоваться для поддержания и расширения постоянного несанкционированного доступа к сетям США. ФБР провело удаление, отправив серверу команду через веб-оболочку, которая была разработана, чтобы заставить сервер удалить только веб-оболочку» — говорится в заявлении.

Министерство юстиции также заявило, что операция удалила только бэкдоры, но не исправила уязвимости, использованные хакерами, и не удалила оставшееся вредоносное ПО.