O FBI está invadindo computadores e servidores infectados com backdoors deixados por cibercriminosos ligados ao governo da China, em ataques contra servidores Microsoft Exchange, que começaram no início de março. Mas, ao invés de espionar as vítimas, o objetivo do FBI é remover o backdoor e procurar por mais informações sobre os ataques e seus operadores.
- Vulnerabilidades de execução de código remoto ainda afetam CS:GO
- Ataques contra servidores Microsoft Exchange crescem 1028% em uma semana
- Google Chrome corrige 5 vulnerabilidades zero day em atualização de emergência
Ataques contra servidores equipados com Microsoft Exchange Server cresceram 1048% somente uma semana após serem identificados pelo centro de inteligência de ameaças da Microsoft (MSTIC). A operação do FBI foi aprovada por autoridades do tribunal de justiça, informa o Departamento de Justiça dos Estados Unidos (DOJ).
"O Departamento de Justiça anunciou hoje uma operação autorizada pelo tribunal para copiar e remover web shells mal-intencionados de centenas de computadores vulneráveis nos Estados Unidos que executam versões locais do software Microsoft Exchange Server usado para fornecer serviço de e-mail de nível empresarial", escreve o DOJ em um comunicado à imprensa, publicado na terça-feira (13).
De acordo com a Microsoft, que batizou o grupo de Hafnium, os criminosos são certamente financiados pelo Estado chinês, mas não operam na China e o principal objetivo é a ciberespionagem. Nos EUA, mais de 30 mil organizações foram comprometidas pelos cibercriminosos, sendo a maioria delas agências do governo, prestadores de serviços para governos, exércitos e bancos.
Operação do FBI contra o Hafnium
A operação do FBI se aproveita das mesmas portas e vulnerabilidades de dia zero, exploradas pelos cibercriminosos do Hafnium. Mas, ao invés de espionar os dados da vítima, o FBI utiliza esses caminhos para investigar os cibercriminosos que estão com acesso à aquela máquina, além de remover os backdoors deixados por eles.
“A remoção autorizada pelo tribunal dos web shells maliciosos demonstra o compromisso do departamento em interromper a atividade de hackers usando todas as nossas ferramentas legais, não apenas os processos”, disse o procurador-geral adjunto John C. Demers da Divisão de Segurança Nacional do DOJ.
Embora a campanha do FBI remova os malwares e o backdoor deixado pelos cibercriminosos, eles não corrigem as vulnerabilidades. Ou seja, caso a vítima não atualize seu Microsoft Exchange, ela continua vulnerável a ataques desse tipo. Por isso, o FBI informou estar entrando em contato com as vítimas, para que elas atualizem seus servidores locais.
“O combate às ameaças cibernéticas exige parcerias com o setor privado e colegas do governo... Continuaremos a fazer isso em coordenação com nossos parceiros e com o tribunal para combater a ameaça até que ela seja aliviada, e podemos proteger ainda mais nossos cidadãos dessas violações cibernéticas maliciosas”, disse a procuradora interina dos EUA, Jennifer B. Lowery.
Já a diretora assistente da Divisão Cibernética do FBI explica que essa operação é "um lembrete aos cibercriminosos que o FBI vai impor riscos e consequências para crimes que ameaçem a segurança nacional e pública do povo estadunidense".
Fontes: Departamento de Justiça dos EUA; The Hack (1) e (2).