Одобренная судом операция ФБР по удалению веб-шеллов со скомпрометированных серверов Microsoft Exchange в США была проведена без предварительного уведомления владельцев серверов.

2 марта Microsoft выпустила серию обновлений безопасности Microsoft Exchange для уязвимостей, активно используемых хакерской группой HAFNIUM.

Эти уязвимости известны под общим названием ProxyLogon и использовались злоумышленниками в январе и феврале для установки веб-командных интерпретаторов на скомпрометированных серверах Exchange. Эти веб-оболочки обеспечивали удаленный доступ к серверам, где злоумышленники использовали их для кражи электронной почты и учетных данных.

В течение следующих недель правительственные агентства выпустили руководство, а Microsoft выпустила множество скриптов и инструментов, чтобы помочь жертвам определить, были ли они скомпрометированы, и удалить веб-оболочки.

Одновременно другие злоумышленники начали использовать уязвимости Microsoft Exchange для установки программ-вымогателей, криптомайнеров и других веб-оболочек.

В опубликованном сегодня пресс-релизе Министерства юстиции ФБР заявляет, что они использовали ордер на обыск для доступа к все еще скомпрометированным серверам Exchange, скопировали веб-оболочку в качестве доказательства, а затем удалили веб-оболочку с сервера. ФБР запросило этот ордер, поскольку считало, что владельцы все еще скомпрометированных веб-серверов не имеют технической возможности удалить их самостоятельно и что оболочки представляют значительный риск для жертвы.

"Исходя из нашей подготовки и опыта, большинство этих жертв вряд ли удалят оставшиеся веб-оболочки, потому что веб-оболочки трудно найти из-за их уникальных имен файлов и путей или из-за того, что эти жертвы не имеют технической возможности удалить их самостоятельно", - заявило ФБР в показании под присягой в поддержку ордера на обыск. Поскольку существовало опасение, что уведомление владельцев этих серверов может поставить под угрозу операцию, ФБР потребовало, чтобы ордер был опечатан, а уведомление об ордере было отложено до завершения операции. "Соответственно, Соединенные Штаты запрашивают у Суда разрешение отложить уведомление до 9 мая 2021 года... или до тех пор, пока ФБР не определит, что больше нет необходимости в отложенном уведомлении, в зависимости от того, что наступит раньше ", - указано в показаниях. Они также запросили разрешение на поиск в любое время дня, чтобы избежать обнаружения злоумышленниками.

"Поскольку постоянный доступ к таким компьютерам позволит правительству свести к минимуму вероятность обнаружения и применения участниками контрмер, которые могут помешать санкционированному поиску, существует веская причина, чтобы разрешить исполнение запрошенного ордера в любое время дня или ночи", говорится в письменных показаниях.

Чтобы очистить идентифицированные серверы Microsoft Exchange, ФБР обратилось к веб-оболочке, используя известные пароли, используемые злоумышленниками, скопировало веб-оболочку в качестве доказательства, а затем выполнило команду для удаления веб-оболочки со скомпрометированного сервера.

«Персонал ФБР получит доступ к веб-оболочкам, введет пароли, сделает доказательную копию веб-оболочки, а затем выдаст команду на серверы, чтобы удалить сами веб-оболочки», - пояснили ФБР в письменных показаниях.

9 апреля суд в Хьюстоне удовлетворил ордер на обыск и разрешил ФБР удалить веб-оболочки с указанного сервера Exchange в течение следующих 14 дней. Суд также разрешил ФБР отложить уведомление владельцев серверов Exchange.

В пресс-релизе Министерства юстиции говорится, что операция ФБР прошла успешно и что они смогли удалить сотни веб-шеллов со скомпрометированных серверов Exchange в США.

Однако ФБР заявляет, что операция удаляла только веб-оболочки и не применяла обновления безопасности и не удаляла любые другие вредоносные программы, которые злоумышленники могли установить на сервере.

В настоящее время ФБР уведомляет жертв, чьи серверы Exchange были доступны во время операции. ФБР будет отправлять эти уведомления по электронной почте с официального адреса электронной почты FBI.gov или, если контактная информация недоступна, через поставщика услуг (ISP) для связи с жертвой.