ФБР получило разрешение на удаленное проникновение в частные Exchange-серверы в США для устранения последствий их взлома. Волна атак на такие серверы прокатилась в конце зимы 2021 г. – хакеры использовали уязвимости, с помощью которых получали к ним полный доступ с правами администратора. ФБР удаляет с таких серверов только веб-оболочки – интерфейсы, оставленные хакерами для новых атак на них.
ФБР против хакеров
Федеральное бюро расследований (ФБР) получило официальное разрешение американских властей на доступ к сотням серверов, на которых установлена уязвимая версия Microsoft Exchange Server – программного обеспечения для совместной работы. Разрешение, предоставленное Министерством юстиции, распространяется исключительно на серверы, расположенные в пределах границ США и не затрагивает другие страны мира.
Документ предоставляет специалистам ФБР возможность удаленно подключаться к таким серверам с целью удаления специализированных веб-оболочек – лазеек, которые хакеры могли оставить там для в качестве бэкдора, средства для проникновения на эти серверы в будущем.
В число таких оболочек входит и популярная у хакеров China Chopper. Она «весит» всего 4 кБ, и впервые она была обнаружена в 2012 г.
Что разрешили ФБР
Министерство юстиции США дало добро на удаление оставленных хакерами веб-оболочек путем отправки специальной команды серверу непосредственно через эти же оболочки. Команда не позволяет удалять другие данные с сервера, то есть специалисты ФБР просто закрывали одну или несколько веб-оболочек (интерфейсов, открытых для несанкционированного доступа к этим серверам).
Не исключено, что ФБР и дальше будет получать подобные разрешения на фоне других масштабных взломов
Другими словами, если в результате взлома серверов хакеры не только оставили себе лазейки, но и загрузили в память какой-нибудь дополнительный вредоносный софт, то действия ФБР не приведут к его удалению, и он останется в системе.
В заявлении министерства сказано, что ФБР провело операцию по закрытию бэкдоров на серверах Exchange сразу после предоставления ему разрешения. Точное количество американских серверов, которые удаленно «пролечили» сотрудники Бюро, остается неизвестным,
Масштабная проблема с Exchange
О небезопасности серверов Exchange Microsoft рассказала 2 марта 2021 г. – она заявила, что хакеры, возможно, в составе спонсируемой Китаем группировки Hafnium, провели массированную атаку на ее серверы. Для взлома серверов киберпреступники использовали сразу четыре уязвимости нулевого дня в Exchange Server, которые Microsoft не успела закрыть вовремя. Из них наиболее опасной является CVE-2021-26855, также известная как ProxyLogon. Притом две из них были обнаружены еще в 2020 г., и нашедший их исследователь Оранж Цай (Orange Tsai) сообщил о них в Microsoft в январе 2021 г.
Почему Microsoft не выпустила патчи для их устранения сразу, остается неизвестным. Совокупная эксплуатация этих уязвимостей позволяет хакерам проходить авторизацию на сервере, притом с правами администратора, что открывает им полный доступ к нему.
В случае с атакой, о которой Microsoft рассказала в начале марта 2021 г. хакеры проникли на сервер, скопировали его содержимое и оставили на нем вредоносный софт. Сразу после нее, по данным корпорации, начались массированные атаки на такие серверы по всему миру, выполнявшиеся по точно такому же принципу. Microsoft выпустила патчи, закрывающие используемые хакерами уязвимости, сразу после своего заявления.
Ситуация в России
Атаки на серверы Microsoft Exchange начались задолго до признания Microsoft и продолжились после нее. Например, в России 7 марта 2021 г., спустя меньше недели после заявления софтверного гиганта, число атакованных через уязвимости Exchange компаний приблизилось к 40 (статистика «Лаборатории Касперского»).
Рассказав о проблемах Exchange, Microsoft упомянула лишь одну хакерскую группу, использующую уязвимости нулевого дня в этом программном обеспечении – Hafnium. Позже выяснилось, что их значительно больше – к середине марта 2021 г. компания Eset насчитала более 10 таких группировок.
Наряду с Hafnium, по версии экспертов Eset, взломом серверов Exchange на тот момент занимались группы Calypso, Cobalt Strike, LuckyMouse, Mikroceen, ShadowPad activity, The Opera IIS backdoors, Tick, Tonto Team, Websiic и Winnti Group. По их оценкам некоторые из них могут быть связаны с КНР. Какие из этих группировок ответственны за атаки на российские компании, на момент публикации материала известно не было.
Для чего могут использоваться уязвимости
Взлом Exchange-серверов через не пропатченные вовремя уязвимости хакеры могут проводить по ряду причин. Основная – это кража электронных писем, в которых может содержаться как личная, так и корпоративная информация, которую затем можно будет продать владельцам или их конкурентам.
Вторая причина – это установка на серверы вредоносного программного обеспечения, в том числе и шифровальщиков. CNews писал, что подобное ПО, ориентированное на интеграцию именно в Exchange-сервера, стало появляться в середине марта 2021 г., в том числе и на GitHub – ресурсе, с 2018 г. принадлежащем Microsoft.
Хакеров также может интересовать и криптовалюта. Для пополнения своих виртуальных кошельков, они могут оставлять на серверах ПО для майнинга – это подтвердила компания Red Canary, занимающаяся информационной безопасностью. В начале марта 2021 г. она написала своем Twitter, что одна из группировок, атакующих Echange-серверы, устанавливает на него специализированный софт DLTMiner.