No início deste ano, um grupo de hackers associados ao governo chinês e conhecido como Hafnium explorou uma vulnerabilidade no Microsoft Exchange Server . O ataque permitiu que eles obtivessem acesso a mais de 60.000 servidores, incluindo os de grandes corporações e bancos.
Esse ataque é separado do hack SolarWinds que afetou milhares de clientes no ano passado por meio de uma vulnerabilidade de backdoor no software da empresa. Nesse caso, um grupo russo conseguiu pegar carona no software da SolarWinds, que - quando instalado por meio de uma atualização nas redes do cliente - permitiu que os hackers implantassem código malicioso. Nesse caso, a Microsoft trabalhou com a firma de segurança cibernética FireEye para interromper o ataque, afundando o domínio usado para receber instruções adicionais.
O ataque ao Exchange Server foi diferente, pois tirou proveito de uma falha de segurança conhecida que afetou os servidores de troca locais. Conhecido como ataque de dia zero, os hackers foram capazes de explorar a vulnerabilidade sem nenhuma interação do usuário e sem que eles soubessem que um código malicioso foi colocado no servidor. A violação foi tão generalizada que o governo Biden pediu uma 'resposta de todo o governo'.
Parece que a Microsoft era notificado pela primeira vez sobre o problema em janeiro , mas não lançou um patch até março. Essa também foi a primeira vez que o problema foi reconhecido publicamente. Durante esse tempo, os hackers tiveram acesso a informações confidenciais em milhares de empresas, agências governamentais e outras organizações.
Desde então, muitos foram capazes de corrigir a falha e remover códigos maliciosos, conhecidos como web shells. Alguns usuários, no entanto, ainda não atenuaram o ataque. Mesmo se eles tivessem instalado o patch, o governo disse que algumas centenas de organizações não removeram os shells da web dos servidores infectados.
Isso os deixou vulneráveis não apenas aos hackers originais, mas, uma vez que a porta dos fundos se tornou pública, a outros grupos que aproveitaram o mesmo exploit.
Em um demonstração , o Departamento de Justiça disse:
Ao longo de março, a Microsoft e outros parceiros da indústria lançaram ferramentas de detecção, patches e outras informações para ajudar as entidades vítimas a identificar e mitigar esse incidente cibernético. Além disso, o FBI e a Agência de Segurança Cibernética e de Infraestrutura lançaram um comunicado conjunto sobre o comprometimento do Microsoft Exchange Server em 10 de março. Apesar desses esforços, no final de março, centenas de shells da web permaneceram em alguns computadores baseados nos Estados Unidos que executam o Microsoft Exchange Software de servidor.
Agora, com a aprovação de um Tribunal Federal em Houston, o FBI está usando o mesmo conjunto de ferramentas que os hackers usaram e está acessando servidores para remover códigos maliciosos. Na maioria dos casos, isso está acontecendo sem o conhecimento ou conhecimento do proprietário do servidor.
Acho que é justo dizer que isso não tem precedentes. O governo federal geralmente não tem permissão para invadir e remover conteúdo de uma rede de computadores. Não estou sugerindo que o que eles fizeram foi ilegal - claramente não foi, daí a ordem de um juiz. No entanto, revela que o governo federal tem capacidades extraordinárias no que diz respeito à segurança cibernética.
Apenas ontem The Washington Post relatado como o FBI conseguiu desbloquear o iPhone do atirador de San Bernardino. A agência usou uma empresa australiana, Azimuth, para desenvolver uma maneira de acessar o dispositivo no centro de uma enorme batalha entre a Apple e as autoridades federais.
No caso do Exchange Server, o governo sentiu que o risco de mais concessões para as empresas envolvidas justificava uma ação drástica. 'Esta operação autorizada pelo tribunal para copiar e remover shells da web maliciosos de centenas de computadores vulneráveis mostra nosso compromisso em usar qualquer recurso viável para combater os cibercriminosos', disse a procuradora interina dos EUA Jennifer B. Lowery do Distrito Sul do Texas.
Essencialmente, o governo está sugerindo que, se as empresas não tomarem medidas para proteger sua rede e eliminar as ameaças cibernéticas, ele está disposto a intervir e usar seus próprios músculos cibernéticos. Isso significa que, se você quiser manter o FBI fora de seus negócios no futuro, mantenha a porta dos fundos fechada.
