O Departamento de Justiça dos EUA informou que no início de abril um tribunal concedeu poderes especiais ao FBI e a agência removeu web shells previamente instalados por hackers em servidores Exchange vulneráveis nos Estados Unidos.. O FBI também tinha o poder de remover outros malwares (sem notificação dos proprietários do servidor).
O FBI não disse quantos web shells foram removidos, mas “a operação foi bem sucedida”
Permitam-me que recorde que a raiz do problema reside no facto de, no início de Março, 2021, Engenheiros da Microsoft lançaram patches não programados para quatro vulnerabilidades, ao qual os pesquisadores deram o nome geral Proxy Logon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065).
Essas vulnerabilidades podem ser encadeadas e exploradas para permitir que um invasor se autentique no servidor Exchange, obter direitos de administrador, instalar malware, e roubar dados. Como resultado, ataques a servidores vulneráveis foram realizados por mais de 10 grupos de hackers, implantando shells da web, mineradores e ransomware nos servidores.
De acordo com as autoridades dos EUA e especialistas em segurança da informação, chinês “governo” hackers usaram ativamente bugs do ProxyLogon em janeiro e fevereiro 2021, e depois que as vulnerabilidades foram tornadas públicas, outros criminosos também se juntaram a eles.
Conforme relatado agora, alguns desses shells da web não foram devidamente protegidos e reutilizaram a mesma senha. Os oficiais do FBI aproveitaram esta circunstância para remover o malware.
Ressalta-se que durante a operação, o FBI não corrigiu servidores Exchange vulneráveis e não tentou detectar e remover outros programas maliciosos que poderiam ter sido instalados no sistema usando web shells.
O FBI está atualmente notificando as vítimas cujos servidores Exchange foram comprometidos e descobertos durante a operação.
