L'FBI bonifica i sistemi Exchange Server compromessi da Hafnium usando la loro backdoor

L'FBI bonifica i sistemi Exchange Server compromessi da Hafnium usando la loro backdoor

L'agenzia federale statunitense sfrutta gli strumenti lasciati dagli hacker per effettuare da remoto la bonifica dei sistemi compromessi ed eliminare le webshell

di pubblicata il , alle 16:41 nel canale Sicurezza
Microsoft
 

Con un'azione ritenuta senza precedenti, l'FBI sta cercando di mettere al riparo centinaia di sistemi compromessi da Hafnium. Come e perché senza precedenti? Le autorità federali stanno infatti usando gli strumenti originariamente usati dai criminali per "hackerare" a fin di bene i sistemi infetti che si trovano sul territorio americano.

Ricordiamo brevemente cos'è successo: all'inizio del mese di marzo un gruppo di hacker noto con il nome di Hafnium ha sfruttato quattro vulnerabilità 0-day di Microsoft Exchange Server per compromettere decine di migliaia di sistemi sparsi in tutto il mondo. Le azioni degli hacker hanno portato all'installazione di backdoor sui sistemi compromessi, con relative webshell, che permettono cosi l'accesso da remoto anche in un secondo momento.

L'FBI usa le strategie degli hacker per bonificare i sistemi Exchange Server compromessi

Sono proprio queste backdoor e webshell che vengono ora usate dall'FBI per operare da remoto la bonifica dei sistemi infetti, in un'operazione che la stessa agenzia federale ritiene essere di successo. "L'FBI ha condotto la rimozione inviando un comando tramite la webshell al server, progettato per far si che esso eliminasse autonomamente la webshell stessa" spiega il Dipartimento di Giustizia degli Stati Uniti.

Un aspetto dell'operazione che potrebbe suscitare qualche polemica è che una buona parte dei proprietari dei server "bonificati" probabilmente non sono ancora a conoscenza dell'azione dell'FBI - e verosimilmente esiste il rischio che qualcuno sia anche completamente ignaro della compromissione. Le autorità federali stanno comunque agendo con l'approvazione di un tribunale del Texas e quindi con l'autorizzazione del Dipartimento di Giustizia. L'FBI sta cercando ora di avvertire i proprietari di server su cui ha effettuato la bonifica.

L'FBI sostiene che migliaia di sistemi sono stati oggetto di applicazione delle patch di sicurezza adeguate direttamente dai loro proprietari prima che prendessero il via le operazioni di bonifica da remoto. L'agenzia federale precisa di aver "rimosso le webshell rimanenti di uno dei primi gruppi di hacker che avrebbero potuto essere sfruttate per mantenere e rafforzare l'accesso persistente e non autorizzato a reti statunitensi".

Si tratta chiaramente di un precedente importante, che potrebbe anche costituire in futuro un modus operandi convenzionale nel caso di attacchi di grave portata com'è stato quello di Hafnium. E' comunque un argomento controverso, perché se da un lato l'azione dell'FBI rappresenta un servizio utile, dall'altro è opportuno mettere in conto che un'operazione di questo tipo potrebbe suscitare più di qualche malumore tra coloro i quali non sono stati avvisati e scopriranno quanto accaduto solo a cose fatte.

Intanto negli aggiornamenti del Patch Tuesday dei giorni scorsi sono state rilasciate le patch per correggere e risolvere due nuove vulnerabilità che interessano ancora Exchange Server. Microsoft ha raccomandato l'applicazione tempestiva, sottolineando comunque di non aver ancora riscontrato attacchi che abbiano sfruttato le nuove vulnerabilità.

Leggi anche:

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
frankie15 Aprile 2021, 18:45 #1
Sarebbe stato peggio se:
L'FBI bonifica i sistemi Exchange Server compromessi da Hafnium usando le proprie backdoor
Opteranium15 Aprile 2021, 20:18 #2
In verità la notizia le questa: l'fbi bonifica i server usando le backdoor degli haker.. e poi ne installa di proprie

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^