Na początku tego roku grupa hakerów związana z rządem chińskim i znana jako Hafnium wykorzystał lukę w Microsoft Exchange Server . Atak pozwolił im uzyskać dostęp do ponad 60 000 serwerów, w tym serwerów dużych korporacji i banków.
what is the zodiac sign for may 28
Atak ten jest odrębny od włamania SolarWinds, które w zeszłym roku dotknęło tysiące klientów poprzez lukę w zabezpieczeniach backdoora w oprogramowaniu firmy. W tym przypadku rosyjska grupa była w stanie wykorzystać oprogramowanie SolarWinds, które – po zainstalowaniu poprzez aktualizację w sieciach klienckich – pozwoliło hakerom wdrożyć złośliwy kod. W tym przypadku Microsoft współpracował z firmą FireEye zajmującą się cyberbezpieczeństwem, aby odciąć atak poprzez zablokowanie domeny używanej do otrzymywania dalszych instrukcji.
Atak Exchange Server był inny, ponieważ wykorzystywał znaną lukę w zabezpieczeniach, która dotyczyła lokalnych serwerów Exchange. Znany jako atak zero-day hakerzy byli w stanie wykorzystać tę lukę bez żadnej interakcji ze strony użytkownika i bez wiedzy, że na serwerze został umieszczony złośliwy kod. Naruszenie było tak powszechne, że administracja Bidena wezwała do „całej reakcji rządu”.
Wygląda na to, że Microsoft był pierwszy powiadomiony o problemie w styczniu , ale łatkę wydali dopiero w marcu. Był to też pierwszy raz, kiedy sprawa została podana do wiadomości publicznej. W tym czasie hakerzy mieli dostęp do poufnych informacji w tysiącach firm, agencji rządowych i innych organizacji.
Od tego czasu wielu zdołało załatać tę lukę i usunąć złośliwy kod, znany jako powłoki sieciowe. Niektórzy użytkownicy musieli jednak jeszcze złagodzić atak. Nawet jeśli zainstalowali łatkę, rząd powiedział, że kilkaset organizacji nie usunęło powłok sieciowych z zainfekowanych serwerów.
To sprawiło, że byli podatni nie tylko na pierwotnych hakerów, ale także, gdy backdoor stał się publiczny, na inne grupy, które wykorzystały ten sam exploit.
W komunikat Departament Sprawiedliwości powiedział:
W marcu firma Microsoft i inni partnerzy branżowi udostępnili narzędzia do wykrywania, poprawki i inne informacje, które mają pomóc ofiarom w identyfikacji i łagodzeniu skutków tego cyberincydentu. Ponadto FBI i Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury opublikowały 10 marca wspólne doradztwo dotyczące włamania do serwera Microsoft Exchange. Oprogramowanie serwerowe.
how to get your libra man back
Teraz, z błogosławieństwem sądu federalnego w Houston, FBI korzysta z tego samego zestawu narzędzi, z którego korzystali hakerzy, i uzyskuje dostęp do serwerów w celu usunięcia złośliwego kodu. W większości przypadków dzieje się to bez wiedzy lub świadomości właściciela serwera.
Myślę, że można powiedzieć, że jest to bezprecedensowe. Rząd federalny zwykle nie może włamywać się i usuwać treści z sieci komputerowej. Nie sugeruję, że to, co zrobili, było nielegalne – wyraźnie nie było, stąd nakaz sędziego. Ujawnia jednak, że rząd federalny ma niezwykłe możliwości, jeśli chodzi o cyberbezpieczeństwo.
Tylko wczoraj Washington Post zgłoszone jak FBI udało się odblokować iPhone'a strzelanki z San Bernardino. Agencja wykorzystała australijską firmę Azimuth, aby opracować sposób na dostęp do urządzenia w centrum ogromnej bitwy między Apple a federalnymi organami ścigania.
W przypadku Exchange Server rząd uznał, że ryzyko dalszego kompromisu dla zaangażowanych firm uzasadnia drastyczne działania. „Ta autoryzowana przez sąd operacja polegająca na kopiowaniu i usuwaniu złośliwych powłok internetowych z setek podatnych komputerów dowodzi naszego zaangażowania w wykorzystanie wszelkich dostępnych zasobów do walki z cyberprzestępcami” – powiedziała pełniąca obowiązki prokuratora Jennifer B. Lowery z Południowego Okręgu Teksasu.
Zasadniczo rząd sugeruje, że jeśli firmy nie podejmą kroków w celu ochrony swojej sieci i wyeliminowania cyberzagrożeń, są skłonne wkroczyć i napiąć własne cybermięśnie. Oznacza to, że jeśli chcesz w przyszłości trzymać FBI z dala od swojej firmy, zamknij tylne drzwi.
