L’Fbi ha smantellato un attacco informatico a 500mila router entrando nei server senza la loro competenza e senza autorizzazioni.
Molti server Microsoft Exchange rimangono ancora vulnerabili dopo i numerosi attacchi e le patch rilasciate dall’azienda per tamponare i danni.
Per questo motivo, l’FBI ha ricevuto l’autorizzazione per rimuovere le web shell dai sistemi non aggiornati negli Stati Uniti. L’agenzia governativa ha iniziato ad informare gli amministratori dell’operazione di pulizia.
Ma questo non è bastato.
Per comprendere meglio la situazione è utile fare un passo indietro: dallo scorso marzo si parla di una nuova minaccia per cui Microsoft sta mettendo in guardia le aziende.
Si chiama Hafnium, e indica un gruppo di cyber criminali cinesi che sfrutta le vulnerabilità zero-day di Microsoft Exchange per infiltrarsi nei server Exchange locali delle vittime, accedendo alle caselle di posta elettronica delle aziende per sottrarne il contenuto.
LEGGI ANCHE: Microsoft acquisisce Nuance per 19,7 miliardi: cosa cambierà?
Cos’è successo?
Partiamo dal principio: Microsoft ha distribuito all’inizio di marzo le patch per quattro vulnerabilità presenti in Exchange Server e sfruttate da un gruppo di cybercriminali cinesi, noto appunto come Hafnium, per installare web shell e successivamente rubare email e credenziali di accesso. Le stesse vulnerabilità sono state sfruttate per installare cryptominer e ransomware.
Molti server sono ora protetti, ma alcuni rimangono vulnerabili, ad esempio perché gli utenti non hanno le competenze per rimuovere le web shell.
Un giudice del Texas ha quindi autorizzato l’FBI ad accedere ai computer negli Stati Uniti per effettuare una copia e successivamente eliminare le web shell e quindi la “porta di ingresso” ai server.
Ciò è avvenuto senza preventivamente informare gli utenti. Solo ora infatti l’FBI ha iniziato a contattare gli interessati (via email diretta o tramite ISP).
Stando alle informazioni di pubblico dominio, l’attacco coinvolge i server Microsoft Exchange 2013, 2016 e 2019, mentre non interessa chi utilizza Microsoft Exchange Online.
Hafnium entra nei sistemi attraverso la porta 443, nei casi in cui l’accesso sia disponibile, e sfrutta quattro vulnerabilità di Microsoft per ottenere accesso da remoto.
La tecnica utilizzata è l’apertura di una web shell che continua a funzionare finché rimane attiva, motivo per cui non è sufficiente applicare soltanto una patch ma verificare se il proprio server sia stato compromesso.
LEGGI ANCHE: Falla a Microsoft: in Italia indaga polizia postale, a rischio molti dati e servizi
La contromossa dell’FBI
Secondo quanto riferito, l’attacco Hafnium ha lasciato una serie di backdoor che potrebbero consentire l’accesso ad altri hacker.
Quindi, l’FBI ha approfittato delle stesse backdoor per introdursi all’interno dei server e scongiurare il ripetersi degli attacchi, come ha spiegato il portavoce del Dipartimento di Giustizia statunitense:
“L’FBI ha agito inviando un comando tramite la web shell al server, che era progettato per far sì che il server eliminasse solo la web shell (identificata dal suo percorso file univoco)”.
La parte più curiosa è che i proprietari dei server probabilmente non sono nemmeno al corrente del coinvolgimento dell’FBI, dato che il Dipartimento di Giustizia si è mosso con la piena approvazione di un tribunale del Texas e si limiterà a tentare di avvisare i proprietari dei server che ha tentato di assistere con questa azione mirata.
Il permesso è stato rilasciato il 9 aprile e l’operazione di pulizia continuerà per 14 giorni. Il Dipartimento di Giustizia sottolinea che non sono state installate le patch né rimossi eventuali malware o tool installati dai cybercriminali tramite le web shell.
Non risultano simili operazioni effettuate in passato.
L’FBI ha quindi “ripulito” computer privati per la prima volta. Al momento non ci sono commenti da parte di Microsoft, però assicura comunque, che i clienti Microsoft Exchange Server hanno a disposizione ormai da più di un mese le indicazioni per mettere al sicuro i propri server.
