O FBI está hackeando computadores e servidores infectados com backdoors deixados por cibercriminosos ligados ao governo chinês em ataques a servidores Microsoft Exchange, que começaram no início de março. Mas, em vez de espionar as vítimas, o objetivo do FBI é remover a porta dos fundos e procurar mais informações sobre os ataques e seus operadores.
Os ataques contra servidores equipados com Microsoft Exchange Server aumentaram 1048% apenas uma semana após serem identificados pelo Microsoft Threat Intelligence Center (MSTIC). A operação do FBI foi aprovada por oficiais do tribunal, relata o Departamento de Justiça dos Estados Unidos (DOJ).
“O Departamento de Justiça anunciou hoje uma operação autorizada pelo tribunal para copiar e remover shells da web maliciosos de centenas de computadores vulneráveis nos Estados Unidos que executam versões locais do software Microsoft Exchange Server usado para fornecer serviço de e-mail de nível empresarial.” , escreve o DOJ em nota divulgada nesta terça-feira (13).
Segundo a Microsoft, que batizou o grupo Hafnium, os criminosos certamente são financiados pelo Estado chinês, mas não atuam na China e o objetivo principal é a espionagem cibernética. Nos EUA, mais de 30.000 organizações foram comprometidas por cibercriminosos, a maioria deles agências governamentais, provedores de serviços governamentais, exércitos e bancos.
Operação do FBI contra háfnio
A operação do FBI aproveita as mesmas portas de dia zero e vulnerabilidades exploradas pelos cibercriminosos Hafnium. Mas, em vez de espionar os dados da vítima, o FBI usa esses caminhos para investigar os cibercriminosos que têm acesso àquela máquina, além de remover as backdoors deixadas por eles.
“A remoção autorizada pelo tribunal de shells da web maliciosos demonstra o compromisso do departamento em parar de hackear usando todas as nossas ferramentas legais, não apenas as ações judiciais”, disse o procurador-geral adjunto John C. Demers da Divisão de Segurança Nacional do DOJ.
Embora a campanha do FBI remova o malware e a porta dos fundos deixada pelos cibercriminosos, eles não abordam as vulnerabilidades. Ou seja, se a vítima não atualizar seu Microsoft Exchange, ela permanecerá vulnerável a ataques desse tipo. Por esse motivo, o FBI informou que está entrando em contato com as vítimas para atualizar seus servidores locais.
“O combate às ameaças cibernéticas requer parcerias com o setor privado e colegas do governo … Continuaremos a fazer isso em coordenação com nossos parceiros e o tribunal para combater a ameaça até que ela seja aliviada, e podemos proteger ainda mais nossos cidadãos desses cibercriminosos maliciosos violações ”, disse a promotora interina dos EUA Jennifer B. Lowery.
O diretor assistente da Divisão Cibernética do FBI explica que esta operação é “um lembrete aos cibercriminosos de que o FBI imporá riscos e consequências para crimes que ameaçam a segurança nacional e pública do povo americano”.
Fontes: US Department of Justice; The Hack (1) and (two) TheHack.