Begin dit jaar heeft een groep hackers, gelieerd aan de Chinese overheid en bekend als Hafnium misbruik gemaakt van een kwetsbaarheid in de Exchange Server van Microsoft . Door de aanval kregen ze toegang tot meer dan 60.000 servers, waaronder die van grote bedrijven en banken.
Deze aanval staat los van de SolarWinds-hack die vorig jaar duizenden klanten trof via een achterdeurkwetsbaarheid in de software van het bedrijf. In dat geval kon een Russische groep meeliften op de software van SolarWinds, die - wanneer geïnstalleerd via een update op clientnetwerken - de hackers in staat stelde kwaadaardige code te implementeren. In dat geval werkte Microsoft samen met cyberbeveiligingsbedrijf FireEye om de aanval af te snijden door het domein dat werd gebruikt om verdere instructies te ontvangen, te 'sinkholen'.
De Exchange Server-aanval was anders, in die zin dat deze profiteerde van een bekende beveiligingsfout die on-premises exchange-servers trof. Hackers, ook wel een zero-day-aanval genoemd, konden het beveiligingslek misbruiken zonder tussenkomst van de gebruiker en zonder dat ze wisten dat er schadelijke code op de server was geplaatst. De inbreuk was zo wijdverbreid dat de regering-Biden opriep tot een 'hele regeringsreactie'.
Het lijkt erop dat Microsoft was voor het eerst op de hoogte gebracht van het probleem in januari , maar bracht pas in maart een patch uit. Dat was ook de eerste keer dat het probleem publiekelijk werd erkend. Gedurende die tijd hadden hackers toegang tot gevoelige informatie bij duizenden bedrijven, overheidsinstanties en andere organisaties.
Sindsdien hebben velen de fout kunnen patchen en kwaadaardige code, ook wel webshells genoemd, kunnen verwijderen. Sommige gebruikers moesten de aanval echter nog afzwakken. Zelfs als ze de patch hadden geïnstalleerd, zei de regering dat een paar honderd organisaties de webshells niet van geïnfecteerde servers hadden verwijderd.
Dat maakte hen niet alleen kwetsbaar voor de oorspronkelijke hackers, maar, zodra de achterdeur openbaar werd, voor andere groepen die misbruik maakten van dezelfde exploit.
In een uitspraak , zei het ministerie van Justitie:
In maart hebben Microsoft en andere branchepartners detectietools, patches en andere informatie vrijgegeven om slachtoffers te helpen bij het identificeren en beperken van dit cyberincident. Bovendien hebben de FBI en de Cybersecurity and Infrastructure Security Agency op 10 maart een Joint Advisory on Compromise of Microsoft Exchange Server uitgebracht. Ondanks deze inspanningen waren er eind maart honderden webshells op bepaalde computers in de Verenigde Staten waarop Microsoft Exchange draaide. Serversoftware.
Nu, met de zegen van een federale rechtbank in Houston, gebruikt de FBI dezelfde set tools die de hackers gebruikten, en gebruikt ze servers om kwaadaardige code te verwijderen. In de meeste gevallen gebeurt dit zonder medeweten of bewustzijn van de eigenaar van de server.
Ik denk dat het eerlijk is om te zeggen dat dit ongekend is. Het is de federale overheid meestal niet toegestaan om in te breken in en inhoud te verwijderen van een computernetwerk. Ik suggereer niet dat wat ze deden onwettig was -- dat was het duidelijk niet, vandaar het bevel van een rechter. Het onthult echter wel dat de federale overheid buitengewone capaciteiten heeft als het gaat om cyberbeveiliging.
Gisteren nog De Washington Post gemeld hoe de FBI de iPhone van de San Bernardino-schutter kon ontgrendelen. Het bureau gebruikte een Australisch bedrijf, Azimuth, om een manier te ontwikkelen om toegang te krijgen tot het apparaat in het centrum van een enorme strijd tussen Apple en de federale wetshandhaving.
In de Exchange Server-zaak was de regering van mening dat het risico van verdere compromissen voor de betrokken bedrijven drastische maatregelen rechtvaardigde. 'Deze door de rechtbank geautoriseerde operatie om kwaadaardige webshells van honderden kwetsbare computers te kopiëren en te verwijderen, toont onze toewijding om elke levensvatbare bron te gebruiken om cybercriminelen te bestrijden', zei waarnemend Amerikaans advocaat Jennifer B. Lowery van het zuidelijke district van Texas.
hoeveel verdient josh gates?
In wezen suggereert de regering dat als bedrijven geen stappen ondernemen om hun netwerk te beschermen en cyberdreigingen te elimineren, ze bereid zijn om in te grijpen en hun eigen cyberspieren aan te spannen. Dat betekent dat als je de FBI in de toekomst buiten je bedrijf wilt houden, de achterdeur gesloten moet houden.
