ФБР принудительно удалило с серверов созданные хакерами вредоносные файлы
ФБР удалила вредоносные скрипты с сотен серверных компьютеров. По данным Microsoft, они появились на серверах из-за атаки хакерской группировки Hafnium, базирующейся в Китае и поддерживаемой государством
Министерство юстиции США объявило о проведенной Федеральным бюро расследований (ФБР) операции по удалению вредоносных файлов с сотен серверных компьютеров под управлением программного обеспечения (ПО) Microsoft Exchange Server. Удаление производилось с санкции суда, решение было вынесено в Южном Техасе, говорится в сообщении Минюста.
Уязвимостью в Microsoft Exchange Server воспользовались хакерские группировки, чтобы разместить на них собственное вредоносное ПО, которое позволяет им осуществлять удаленное администрирование компьютерами. Именно эти скрипты и удалялись в ходе операции, проведенной ФБР с санкции суда во вторник, 13 апреля.
Операция по удалению вредоносных файлов прошла успешно, но в ее ходе не исправлялись какие-либо уязвимости Microsoft Exchange Server и не удалялись другие вредоносные программы или инструменты, которые хакеры могли разместить, используя свой доступ к сетям и серверам. По словам помощника генерального прокурора Джона Демерса из Отдела национальной безопасности Министерства юстиции, операция продемонстрировала «силу, которую государственно-частное партнерство приносит в кибербезопасность страны». «Борьба с киберугрозами требует партнерства с частным сектором и государственными коллегами», — заявила исполняющая обязанности прокурора Дженнифер Лоури из Южного округа Техаса. «Эта операция является примером приверженности ФБР борьбе с киберугрозами через наше прочное партнерство с федеральным и частным секторами», — сказала исполняющая обязанности помощника директора кибер-отдела ФБР Тоня Угорец.
США могут выслать из страны российских дипломатов из-за кибератаки и вмешательства в выборы
В начале марта 2021 года Microsoft объявила, что хакеры использовали несколько уязвимостей ПО Microsoft Exchange Server для установки веб-оболочек на тысячи компьютеров, в том числе в Соединенных Штатах. Файлы, которые принудительно удалила ФБР, могли быть слишком сложными для обнаружения и устранения отдельными владельцами серверов. К концу марта сотни файлов оставались на некоторых компьютерах с Exchange Server. По сообщению компании, хакерская группировка Hafnium, базирующаяся в Китае и поддерживаемая государством, атаковала компании и структуры в сфере юридических услуг, высшего образования, исследования инфекционных болезней, оборонных подрядчиков, аналитические центры и некоммерческие организации.
Хакеры получали доступ к серверу Exchange, используя уязвимые места, создавали вредоносный скрипт для удаленного управления взломанным сервером, после чего использовали этот доступ с частных выделенных серверов в США и похищали данные. Microsoft сразу же выпустила обновление для защиты пользователей Exchange Server.