All'inizio di quest'anno, un gruppo di hacker associati al governo cinese e noto come Hafnium ha sfruttato una vulnerabilità nell'Exchange Server di Microsoft . L'attacco ha permesso loro di ottenere l'accesso a oltre 60.000 server, compresi quelli delle principali società e banche.
Questo attacco è separato dall'hack di SolarWinds che ha colpito migliaia di clienti lo scorso anno attraverso una vulnerabilità backdoor nel software dell'azienda. In quel caso, un gruppo russo è stato in grado di sfruttare il software di SolarWinds, che, se installato tramite un aggiornamento sulle reti client, ha permesso agli hacker di distribuire codice dannoso. In tal caso, Microsoft ha collaborato con la società di sicurezza informatica FireEye per bloccare l'attacco effettuando il sink-hole del dominio utilizzato per ricevere ulteriori istruzioni.
L'attacco a Exchange Server era diverso, in quanto sfruttava un noto difetto di sicurezza che colpiva i server di Exchange locali. Conosciuto come attacco zero-day , gli hacker sono stati in grado di sfruttare la vulnerabilità senza alcuna interazione da parte dell'utente e senza che questi sapessero che sul server era stato inserito del codice dannoso. La violazione era così diffusa che l'amministrazione Biden ha chiesto 'una risposta completa del governo'.
Sembra che Microsoft lo fosse prima notificato del problema a gennaio , ma non ha rilasciato una patch fino a marzo. Quella è stata anche la prima volta che il problema è stato riconosciuto pubblicamente. Durante quel periodo, gli hacker avevano accesso a informazioni sensibili presso migliaia di aziende, agenzie governative e altre organizzazioni.
Da allora, molti sono stati in grado di correggere il difetto e rimuovere il codice dannoso, noto come web shell. Alcuni utenti, tuttavia, dovevano ancora mitigare l'attacco. Anche se avessero installato la patch, il governo ha affermato che alcune centinaia di organizzazioni non hanno rimosso le web shell dai server infetti.
Ciò li ha resi vulnerabili non solo agli hacker originali ma, una volta che la backdoor è diventata pubblica, ad altri gruppi che hanno approfittato dello stesso exploit.
In un dichiarazione , il Dipartimento di Giustizia ha dichiarato:
Per tutto il mese di marzo, Microsoft e altri partner del settore hanno rilasciato strumenti di rilevamento, patch e altre informazioni per aiutare le entità vittime a identificare e mitigare questo incidente informatico. Inoltre, il 10 marzo l'FBI e la Cybersecurity and Infrastructure Security Agency hanno pubblicato un avviso congiunto sulla compromissione di Microsoft Exchange Server. Nonostante questi sforzi, alla fine di marzo centinaia di shell web erano rimaste su alcuni computer con sede negli Stati Uniti che eseguivano Microsoft Exchange. Software server.
Ora, con la benedizione di un tribunale federale di Houston, l'FBI sta utilizzando lo stesso insieme di strumenti utilizzati dagli hacker e accede ai server per rimuovere il codice dannoso. Nella maggior parte dei casi, ciò avviene all'insaputa o all'insaputa del proprietario del server.
Penso che sia giusto dire che questo è senza precedenti. Il governo federale di solito non è autorizzato a violare e rimuovere contenuti da una rete di computer. Non sto suggerendo che ciò che hanno fatto fosse illegale, chiaramente non lo era, da qui l'ordine di un giudice. Rivela, tuttavia, che il governo federale ha capacità straordinarie quando si tratta di sicurezza informatica.
proprio ieri Il Washington Post segnalato come l'FBI è riuscita a sbloccare l'iPhone dell'assassino di San Bernardino. L'agenzia ha utilizzato un'azienda australiana, Azimuth, per sviluppare un modo per accedere al dispositivo al centro di un'enorme battaglia tra Apple e le forze dell'ordine federali.
Nel caso Exchange Server, il governo ha ritenuto che il rischio di ulteriori compromessi per le società coinvolte giustificasse un'azione drastica. 'Questa operazione autorizzata dal tribunale per copiare e rimuovere shell web dannose da centinaia di computer vulnerabili dimostra il nostro impegno a utilizzare qualsiasi risorsa praticabile per combattere i criminali informatici', ha affermato il procuratore ad interim degli Stati Uniti Jennifer B. Lowery del distretto meridionale del Texas.
quanti anni ha mario chalmers
In sostanza, il governo suggerisce che se le aziende non adotteranno misure per proteggere la propria rete ed eliminare le minacce informatiche, saranno disposte a intervenire e mostrare i propri muscoli informatici. Ciò significa che se vuoi tenere l'FBI fuori dai tuoi affari in futuro, tieni la backdoor chiusa.
