ФБР получил доступ к любому компьютеру в США, чтобы устранить взломы Microsoft Exchange +3


AliExpress RU&CIS


ФБР получило разрешение суда на доступ к уязвимым компьютерам в Соединенных Штатах.

Во вторник Министерство юстиции США сделало заявление, что ФБР (Федеральное Бюро Расследовани) было предоставлено разрешение получить доступ к сотням компьютеров в Соединенных Штатах, на которых установлены уязвимые версии программного обеспечения Microsoft Exchange Server, с целью удаления веб-оболочек, оставленных ранее проникавшими в ПО хакерами.

Это событие демонстрирует один из ряда наиболее активных шагов, которые правоохранительные органы могут предпринять, столкнувшись с крупномасштабными хакерскими операциями и их жертвами, не желающими или не способными быстро устранить уязвимость своих систем.

Говоря короче, ФБР получило разрешение на удаленный доступ к компьютерам с целью удаления артефактов от произошедшей ранней крупной хакерской операции, чтобы предотвратить дальнейший доступ к этим машинам со стороны хакеров.


«Министерство юстиции сегодня объявило санкционированную судом операцию по копированию и удалению вредоносных веб-оболочек с сотен уязвимых компьютеров в Соединенных Штатах, на которых установлены локальные версии программного обеспечения Microsoft Exchange Server, используемого для предоставления услуг электронной почты корпоративного уровня», — гласило официальное заявление Министерства.

Данный шаг являются ответом на серию хакерских атак начала этого года, в ходе которой использовались уязвимости в Microsoft Exchange Server. Несколько хакерских групп использовали эти недостатки безопасности для взлома серверов Exchange, в некоторых случаях целью было хищение электронной переписки жертвы. Известная Китайская хакерская группа, подозреваемая в этих атаках, опередила прочих злоумышленников, проникнув на десятки тысяч серверов Exchange. В этом случае ФБР «удалило оставшиеся веб-оболочки одной ранней хакерской группы, которые могли использоваться для поддержания и расширения постоянного несанкционированного доступа к сетям США», — говорится в официальном заявлении.

«ФБР провело удаление ПО, отправив серверу команду через веб-оболочку, которая должна была заставить сервер удалить только веб-оболочку (идентифицируемую по его уникальному пути к файлу)», — уточняется в заявлении.

Веб-оболочка — это, по сути, интерфейс, который открыли хакеры с целью связи с уязвимой системой в будущем. В заявлении говорится, что действия ФБР не включали исправление базовых систем или удаление каких-либо других дополнительных вредоносных программ.



«Удалив данные веб-оболочки, сотрудники ФБР предотвратят доступ к сервера злоумышленников посредством веб-оболочки, а так же установку на них дополнительных вредоносных программ», — говорится в судебных протоколах, опубликованных вместе с заявлением. В документах уточняется, что затронутые серверы, по-видимому, расположены в пяти или более судебных округах, включая Южный округ Техаса, округ Массачусетс, Северный округ штата Иллинойс и Северный округ штата Вирджиния.

ФБР также взяло доказательства с самих серверов и использовало пароли, уточняет документ.

«Сотрудники ФБР будут получать доступ к веб-оболочкам, вводить пароли, делать копию веб-оболочки в качестве вещественного доказательства, а затем выдавать команду через каждую из них» говорится в документах.

Помощник генерального прокурора Джон К. Демерс из Отдела Национальной Безопасности Министерства юстиции заявил в своем заявлении, что «сегодняшнее санкционированное судом удаление вредоносных веб-оболочек демонстрирует стремление министерства пресечь хакерскую деятельность с использованием всех наших юридических инструментов, а не только судебного преследования».

«Совместно с представителями частного сектора и с помощью усилий других правительственных агентств, включая выпуск средств обнаружения и патчей, мы демонстрируем силу, которую государственно-частное партнерство привносит в кибербезопасность нашей страны. Нет никаких сомнений в том, что нам предстоит еще многое сделать, но пусть не будет никаких сомнений в том, что Департамент намерен играть свою неотъемлемую и необходимую роль в таких усилиях», — добавил он.

В объявлении говорится, что ФБР предпринимает меры информирования всех владельцев пострадавших компьютеров об операции. В судебном документе, опубликованном вместе с заявлением, исполняющая обязанности прокурора США Дженнифер Б. Лоури написала, что «удаленный доступ позволит правительству предпринять разумные усилия по уведомлению некоторых жертв о производимом розыске».

В 2016 году Министерство юстиции внесло изменения в правила, регулирующие процедуру обыска, дав право мировым судьям подписывать ордера на обыск компьютеров за пределами их округа. Это было связано с расследованиями в даркнете, где физическое местонахождение объекта вредоносного ПО для правоохранительных органов может быть неизвестно, а также с целью борьбы с ботнетами.

Представитель Microsoft от комментариев отказался. Во вторник в Twitter-аккаунте Агентства национальной безопасности было опубликовано сообщение в блоге Microsoft, в котором пользователям рекомендуется устанавливать новые патч, повышающие безопасность, в том числе связанные с уязвимостями Exchange Server.



Наши серверы можно использовать для установки любой панели управления.
Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!




Комментарии (25):

  1. Gor40
    /#22929652

    А если у меня торчит уязвимый сервер в качестве ханипота, они мне его тоже починят? Без спроса?

    • kompilainenn2
      /#22929676

      конечно. А что делать нашим доморощенным корпорастам, у которых вся инфраструктура на МС технологиях? Вежливо просить ФБР не трогать данные?

    • rezdm
      /#22931268

      читайте не желтушную статью, а оригинал. Там перечислены сервера, к которым это относится.

  2. rezdm
    /#22929806

    Название статьи — огонь, конечно.
    «ФБР получил доступ к любому компьютеру в США, чтобы устранить взломы Microsoft Exchange»

    «The Justice Department today announced a court-authorized operation to copy and remove malicious web shells from hundreds of vulnerable computers in the United States running on-premises versions of Microsoft Exchange Server software used to provide enterprise-level e-mail service,»

    Потом тупо в оригинал тут www.justice.gov/opa/press-release/file/1386631/download, страница 16 там перечислены один за одним сервера, на которых что-то надо делать.

    Это никак не «ФБР получил доступ к любому компьютеру в США».

    • maksqwe
      /#22929816

      По-моему, нужно вводить кнопку «пожаловатся» с пунктами типа «дезинформация», «заголовок не соответствует статьи» и т.д. Так как достали копипасты и кривые переводы с желтушными заголовками в последнее время которые заполонили хабр.

      • /#22930468

        Дык тогда тут статей не останется.

        • vvs013
          /#22932650

          Другие появятся, свято место пусто не бывает.
          Но поначалу то, да. :)

      • AlexanderS
        /#22932268

        У вас есть для этого инструменты — карма автора. Потому что это такой заголовок — именно его сознательное творение. Люди должны понимать, что или уж если переводишь, то переводи нормально, если не умеешь переводить — лучше и не берись, а если сознательно фейки создаёшь — будь готов получить и расписаться.

    • Alexeyslav
      /#22930994

      Но с таким прецедентом, у них и правда будет возможность в будущем получить доступ к любому компьютеру… (будто у них и так его нет).

    • arkamax
      /#22931956

      «Remaining pages of Attachment A are redacted in their entirety», плюс общее количество страниц приложения А затерто. Т.е. мы не знаем, сколько в этом списке было страниц (и серверов).

      • rezdm
        /#22931974

        Написано: сотни. Это не как не «любые» или «все», а по списку.

      • vindy123
        /#22933196

        Ну, сути претензий к автору это не меняет, если внизу последней пропущенной страницы со списком нет чего-то вроде "а также при необходимости любой другой сервер", то есть конечный список превращается в бесконечный. Но такие кунштюки практически нереальны в американской судебной системе. Есть миллион менее параноидальных версий этой скрытности — например, публиковать список заражённых серверов, которые ты прямо сейчас не можешь починить (другая разновидность трояна, или тупо c&c известного трояна ещё не угнан тобой у хакеров, чтобы перехватить контроль) — это привлекать горе-хакеров, которые в ту же дыру на этих серверах полезут.

  3. EvilMonk
    /#22929902 / +2

    Такая явная желтизна в заголовке, хоть бы фантазию проявили что ли

  4. KYuri
    /#22929930

    <paranoia_mode>

    Инструкция для легального (чтобы, например, можно было в качестве улик/доказательств в суде использовать) получения приватной информации:
    — идём к <производитель_софта>, требуем бэкдор
    — пользуемся бэкдором
    — поднимаем в СМИ шум: «злобные хакеры всех похакали»
    — получаем решение суда «можно лазить по таким-то компьютерам»
    — на «нужных» компьютерах «случайно» обнаруживаем требуемую нам информацию

    </paranoia_mode>

    • kanvas
      /#22930952

      оставляем на компах текстовые файлики с именами KGB PUTIN и бежим рассказывать в новостях об «очередном взломе русских хакеров»

  5. Alexeyslav
    /#22931010

    Что-то мне подсказывает, что с такой работой мог бы справится любой наёмный компьютерный инженер в том числе обслуживающий компанию специалист(наёмный или штатный), но почему-то решили привлечь к этому делу высокооплачиваемых специалистов ФБР. Ох не спроста это…

    • Xaliuss
      /#22931070

      Так меры принимаются именно из-за того, что не все компании закрыли дыры, хотя все средства для этого доступны. Теперь используют доступ извне для закрытия проблем. Так конечно в принципе может сделать кто угодно, но чтобы это сделать законно и гарантировать, что не будет сделано ничего другого, подключили ФБР, как тех, кому положено.

      • drWhy
        /#22931142

        А доступ ФБР к серверам за пределами США точно законен? КМК АНБ на эту роль больше подходит

        • yvm
          /#22936472

          Там и разрешения спрашивать не надо.

    • 13oz
      /#22936570

      А что, любой инженер может осуществить сбор юридически значимой доказательной базы? Если что, выше привели ссылку на судебное решение, там есть страница 4.

  6. dn842
    /#22936328

    Ну да, рассказали про Exchange, а будут шариться везде по полной включая бекдоры типа Intel MEI теперь на законных основаниях без решения суда. Кроме прочего, еще вопрос сколько они серваков уронят в процессе т.н. лечения.

    • 13oz
      /#22936574

      Прочитать само судебное решение и ордер — вообще никак, да?

      • dn842
        /#22936746

        Включить в своей пустой голове остатки мозга вообще никак да?