El FBI recibió una orden judicial para eliminar las puertas traseras de los servidores de Exchange pirateados


A presione soltar el lunes reveló la existencia de una operación del FBI que intentó detener los ataques del grupo «Hafnium» y otros en los servidores de Microsoft Exchange a principios de este año. Tiempo parches y las mitigaciones abordan el problema para muchos, todavía había varios servidores que permanecían expuestos donde los atacantes instalaron shells web para continuar con su acceso remoto. Los federales afirman que esos caparazones podrían haber sido difíciles de identificar y eliminar por su cuenta para algunos administradores.

Orden judicial de hafnio

Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Texas

El FBI apuntó a los proyectiles de Hafnium en particular (como descrito en documentos judiciales), ya que los identificó en el servidor es EE. UU., accediendo a ellos de forma remota utilizando las propias contraseñas del atacante y ejecutando un comando para hacer que se borren, frustrando los planes del grupo. La orden de registro que solicitó el FBI le permitió ejecutar esta operación y retrasar la notificación a los administradores del servidor. Recibió permiso el 9 de abril para ejecutar la operación hasta por 14 días, junto con la autorización para retrasar las notificaciones hasta por 30 días.

Según el Departamento de Justicia, «esta operación logró copiar y eliminar esos shells web. Sin embargo, no paró ninguna vulnerabilidad de día cero de Microsoft Exchange Server ni buscó ni eliminó ningún malware adicional o herramientas de piratería que los grupos de piratas informáticos pudieran haber colocado. en las redes de víctimas mediante la explotación de los shells web «.

Ahora, el FBI dice que está enviando correos electrónicos a los propietarios de servidores e «intentando notificar la operación autorizada por el tribunal a todos los propietarios u operadores de las computadoras de las que eliminó los shells web del grupo de piratería». Si bien no tenemos conocimiento de un precedente de que el FBI haya tomado medidas en servidores privados después de que fueron atacados, Cableado reportero Kim Zetter señala cómo se ocupó de la botnet Coreflood en 2011 enviando un comando a una máquina infectada para apagarla, también con una orden judicial. El Departamento de Justicia y Microsoft no han comentado públicamente sobre la operación más allá de esta declaración.





Fuente: engadget.com

Deja una respuesta

*

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, aceptas el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad