ФБР получило разрешение суда на доступ к уязвимым компьютерам в Соединенных Штатах.
Во вторник Министерство юстиции США сделало заявление, что ФБР (Федеральное Бюро Расследовани) было предоставлено разрешение получить доступ к сотням компьютеров в Соединенных Штатах, на которых установлены уязвимые версии программного обеспечения Microsoft Exchange Server, с целью удаления веб-оболочек, оставленных ранее проникавшими в ПО хакерами.
Это событие демонстрирует один из ряда наиболее активных шагов, которые правоохранительные органы могут предпринять, столкнувшись с крупномасштабными хакерскими операциями и их жертвами, не желающими или не способными быстро устранить уязвимость своих систем.
Говоря короче, ФБР получило разрешение на удаленный доступ к компьютерам с целью удаления артефактов от произошедшей ранней крупной хакерской операции, чтобы предотвратить дальнейший доступ к этим машинам со стороны хакеров.
Министерство юстиции сегодня объявило санкционированную судом операцию по копированию и удалению вредоносных веб-оболочек с сотен уязвимых компьютеров в Соединенных Штатах, на которых установлены локальные версии программного обеспечения Microsoft Exchange Server, используемого для предоставления услуг электронной почты корпоративного уровня, гласило официальное заявление Министерства.
Данный шаг являются ответом на серию хакерских атак начала этого года, в ходе которой использовались уязвимости в Microsoft Exchange Server. Несколько хакерских групп использовали эти недостатки безопасности для взлома серверов Exchange, в некоторых случаях целью было хищение электронной переписки жертвы. Известная Китайская хакерская группа, подозреваемая в этих атаках, опередила прочих злоумышленников, проникнув на десятки тысяч серверов Exchange. В этом случае ФБР удалило оставшиеся веб-оболочки одной ранней хакерской группы, которые могли использоваться для поддержания и расширения постоянного несанкционированного доступа к сетям США, говорится в официальном заявлении.
ФБР провело удаление ПО, отправив серверу команду через веб-оболочку, которая должна была заставить сервер удалить только веб-оболочку (идентифицируемую по его уникальному пути к файлу), уточняется в заявлении.
Веб-оболочка это, по сути, интерфейс, который открыли хакеры с целью связи с уязвимой системой в будущем. В заявлении говорится, что действия ФБР не включали исправление базовых систем или удаление каких-либо других дополнительных вредоносных программ.
Удалив данные веб-оболочки, сотрудники ФБР предотвратят доступ к сервера злоумышленников посредством веб-оболочки, а так же установку на них дополнительных вредоносных программ, говорится в судебных протоколах, опубликованных вместе с заявлением. В документах уточняется, что затронутые сервера, по-видимому, расположены в пяти или более судебных округах, включая Южный округ Техаса, округ Массачусетс, Северный округ штата Иллинойс и Северный округ штата Вирджиния.
ФБР также взяло доказательства с самих серверов и использовало пароли, уточняет документ.
Сотрудники ФБР будут получать доступ к веб-оболочкам, вводить пароли, делать копию веб-оболочки в качестве вещественного доказательства, а затем выдавать команду через каждую из них говорится в документах.
Помощник генерального прокурора Джон К. Демерс из Отдела Национальной Безопасности Министерства юстиции заявил в своем заявлении, что сегодняшнее санкционированное судом удаление вредоносных веб-оболочек демонстрирует стремление министерства пресечь хакерскую деятельность с использованием всех наших юридических инструментов, а не только судебного преследования.
Совместно с представителями частного сектора и с помощью усилий других правительственных агентств, включая выпуск средств обнаружения и патчей, мы демонстрируем силу, которую государственно-частное партнерство привносит в кибербезопасность нашей страны. Нет никаких сомнений в том, что нам предстоит еще многое сделать, но пусть не будет никаких сомнений в том, что Департамент намерен играть свою неотъемлемую и необходимую роль в таких усилиях, добавил он.
В объявлении говорится, что ФБР предпринимает меры информирования всех владельцев пострадавших компьютеров об операции. В судебном документе, опубликованном вместе с заявлением, исполняющая обязанности прокурора США Дженнифер Б. Лоури написала, что удаленный доступ позволит правительству предпринять разумные усилия по уведомлению некоторых жертв о производимом розыске.
В 2016 году Министерство юстиции внесло изменения в правила, регулирующие процедуру обыска, дав право мировым судьям подписывать ордера на обыск компьютеров за пределами их округа. Это было связано с расследованиями в даркнете, где физическое местонахождение объекта вредоносного ПО для правоохранительных органов может быть неизвестно, а также с целью борьбы с ботнетами.
Представитель Microsoft от комментариев отказался. Во вторник в Twitter-аккаунте Агентства национальной безопасности было опубликовано сообщение в блоге Microsoft, в котором пользователям рекомендуется устанавливать новые патч, повышающие безопасность, в том числе связанные с уязвимостями Exchange Server.
Наши серверы можно использовать для установки любой панели управления.
Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!
