Ресурс TechCrunch сообщил о получении ФБР санкции суда в Хьюстоне (Техас, США) на проведение операции по «копированию и удалению» бэкдоров с сотен почтовых серверов Microsoft Exchange в Соединённых Штатах, использовавшихся хакерами для атаки на тысячи сетей.

Bryce Durbin / TechCrunch

В марте Microsoft сообщила об атаке на серверы Exchange, за которой, предположительно, стояла новая хакерская группа Hafnium, спонсируемая Китаем. Используя объединённые в цепочку четыре уязвимости 0-day в программном обеспечении Microsoft Exchange Server, хакеры проникли на сервер и похитили его содержимое, оставив вредоносное ПО. Microsoft устранила уязвимости, но патчи не закрыли бэкдоры уже взломанных серверов. И спустя некоторое время уже другие хакерские группы начали атаковать серверы, используя те же методы и пытаясь запустить программы-вымогатели.

В не удалось удалить вредоносные веб-оболочки (скрипты), обеспечивающие хакерам удалённый доступ.

В результате проведенной ФБР операции было произведено удаление оставшихся веб-оболочек хакерской группы Hafnium, которые могли использоваться для поддержания и расширения постоянного несанкционированного доступа к сетям США.

«ФБР провело удаление, отправив серверу команду через веб-оболочку, которая была разработана для того, чтобы заставить сервер удалить только веб-оболочку (идентифицируемую по его уникальному пути к файлу)», — отмечено в сообщении Минюста США.

Источник: 3Dnews.