Le FBI pirate à distance des centaines d’ordinateurs pour les protéger de Hafnium

Ils sont entrés dans des ordinateurs non protégés pour éliminer la menace

Dans ce qui est considéré comme une mesure sans précédent, le FBI tente de protéger des centaines d’ordinateurs infectés par le piratage Hafnium en les piratant lui-même , en utilisant les propres outils des pirates d’origine (via TechCrunch ).

Le piratage, qui a affecté des dizaines de milliers de clients Microsoft Exchange Server dans le monde et déclenché une «réponse de l’ensemble du gouvernement» de la Maison Blanche , aurait laissé un certain nombre de portes dérobées qui pourraient permettre à un certain nombre de pirates d’accéder à nouveau à ces systèmes. Maintenant, le FBI en a profité en utilisant ces mêmes shells Web / portes dérobées pour se supprimer à distance, une opération que l’agence qualifie de succès.

«Le FBI a procédé à la suppression en émettant une commande via le shell Web vers le serveur, qui a été conçu pour que le serveur ne supprime que le shell Web (identifié par son chemin de fichier unique)», explique le ministère américain de la Justice .

La partie sauvage ici est que les propriétaires de ces serveurs Microsoft Exchange ne sont probablement pas encore au courant de l’implication du FBI; le ministère de la Justice dit qu’il «tente simplement de notifier» aux propriétaires qu’ils ont tenté d’aider. Il fait tout cela avec l’approbation totale d’un tribunal du Texas, selon l’agence. Vous pouvez lire le mandat de perquisition et de saisie non scellé et la demande ici .

Il sera intéressant de voir si cela crée un précédent pour les futures réponses aux hacks majeurs comme Hafnium. Bien que je sois personnellement indécis, il est facile de soutenir que le FBI rend un service au monde en supprimant une menace comme celle-ci – alors que Microsoft a peut-être été extrêmement lent avec sa réponse initiale , les clients de Microsoft Exchange Server ont également eu bien plus d’un mois pour patcher leurs propres serveurs après plusieurs alertes critiques. Je me demande combien de clients seront en colère et combien reconnaissants que le FBI, et non un autre pirate informatique, ait profité de la porte ouverte. Nous savons que les infrastructures gouvernementales essentielles mais locales ont souvent des pratiques de sécurité flagrantes, qui ont récemment abouti à la falsification de deux approvisionnements locaux en eau potable .

Le FBI dit que des milliers de systèmes ont été corrigés par leurs propriétaires avant de commencer son opération de suppression de porte dérobée Hafnium à distance, et qu’il n’a supprimé que «supprimé les coques Web restantes d’un des premiers groupes de piratage informatique qui auraient pu être utilisées pour maintenir et augmenter l’accès persistant et non autorisé à Réseaux américains. »

«La suppression autorisée aujourd’hui par le tribunal des coquilles Web malveillantes démontre l’engagement du Ministère à interrompre les activités de piratage en utilisant tous nos outils juridiques, et pas seulement les poursuites», lit-on dans une déclaration du procureur général adjoint John C. Demers, de la Division de la sécurité nationale du ministère de la Justice. .

Aujourd’hui, c’est le Patch Tuesday, au fait, et la mise à jour de sécurité d’avril 2021 de Microsoft inclut de nouvelles atténuations pour les vulnérabilités d’Exchange Server, selon CISA . Si vous exécutez un serveur Exchange local ou connaissez quelqu’un qui est, jetez un œil.