Đầu năm nay, một nhóm tin tặc liên kết với chính phủ Trung Quốc và được gọi là Hafnium đã khai thác một lỗ hổng trong Máy chủ Exchange của Microsoft . Cuộc tấn công cho phép họ truy cập vào hơn 60.000 máy chủ, bao gồm cả máy chủ của các tập đoàn và ngân hàng lớn.
Cuộc tấn công này tách biệt với vụ hack SolarWinds đã ảnh hưởng đến hàng nghìn khách hàng vào năm ngoái thông qua một lỗ hổng cửa hậu trong phần mềm của công ty. Trong trường hợp đó, một nhóm người Nga đã có thể sử dụng phần mềm của SolarWinds, phần mềm này - khi được cài đặt thông qua bản cập nhật trên mạng khách hàng - đã cho phép tin tặc triển khai mã độc. Trong trường hợp đó, Microsoft đã làm việc với công ty an ninh mạng FireEye để ngăn chặn cuộc tấn công bằng cách nhấn chìm miền được sử dụng để nhận thêm hướng dẫn.
Cuộc tấn công của Exchange Server thì khác, ở chỗ nó lợi dụng một lỗ hổng bảo mật đã biết ảnh hưởng đến các máy chủ trao đổi tại chỗ. Được gọi là cuộc tấn công zero-day, tin tặc có thể khai thác lỗ hổng bảo mật mà không cần bất kỳ sự tương tác nào từ người dùng và họ không biết rằng mã độc hại đã được đặt trên máy chủ. Vụ vi phạm lan rộng đến mức chính quyền Biden đã kêu gọi 'toàn bộ phản ứng của chính phủ.'
Có vẻ như Microsoft đã lần đầu tiên được thông báo về vấn đề vào tháng Giêng , nhưng đã không phát hành một bản vá cho đến tháng Ba. Đó cũng là lần đầu tiên vấn đề này được thừa nhận một cách công khai. Trong thời gian đó, tin tặc đã truy cập vào thông tin nhạy cảm tại hàng nghìn công ty, cơ quan chính phủ và các tổ chức khác.
Kể từ đó, nhiều người đã có thể vá lỗ hổng và loại bỏ mã độc hại, được gọi là web shell. Tuy nhiên, một số người dùng vẫn chưa giảm thiểu được cuộc tấn công. Ngay cả khi họ đã cài đặt bản vá, chính phủ nói rằng vài trăm tổ chức vẫn chưa gỡ bỏ web shell khỏi các máy chủ bị nhiễm.
Điều đó khiến chúng không chỉ dễ bị tấn công bởi các tin tặc ban đầu mà ngay khi cửa hậu trở nên công khai, đối với các nhóm khác cũng lợi dụng cách khai thác tương tự.
Trong một tuyên bố , Sở Tư pháp cho biết:
Trong suốt tháng 3, Microsoft và các đối tác khác trong ngành đã phát hành các công cụ phát hiện, bản vá và thông tin khác để hỗ trợ các thực thể nạn nhân xác định và giảm thiểu sự cố mạng này. Ngoài ra, FBI và Cơ quan An ninh mạng và Cơ sở hạ tầng đã phát hành Cố vấn chung về Thỏa hiệp của Máy chủ Microsoft Exchange vào ngày 10 tháng 3. Bất chấp những nỗ lực này, vào cuối tháng 3, hàng trăm web shell vẫn còn trên một số máy tính chạy Microsoft Exchange của Hoa Kỳ. Phần mềm máy chủ.
Giờ đây, với sự cho phép của Tòa án Liên bang ở Houston, FBI đang sử dụng cùng một bộ công cụ mà các tin tặc đã sử dụng và đang truy cập vào các máy chủ để loại bỏ mã độc. Trong hầu hết các trường hợp, điều này xảy ra mà chủ sở hữu máy chủ không hề hay biết.
Tôi nghĩ công bằng mà nói đây là điều chưa từng có. Chính phủ liên bang thường không được phép xâm nhập và xóa nội dung khỏi mạng máy tính. Tôi không cho rằng những gì họ đã làm là bất hợp pháp - rõ ràng là không phải vậy, do đó là lệnh của thẩm phán. Tuy nhiên, nó tiết lộ rằng chính phủ liên bang có khả năng phi thường khi nói đến an ninh mạng.
Mới hôm qua Các bài viết washington báo cáo Làm thế nào FBI có thể mở khóa iPhone của kẻ bắn súng ở San Bernardino. Cơ quan này đã sử dụng một công ty Úc, Azimuth, để phát triển một cách truy cập vào thiết bị ở trung tâm của cuộc chiến lớn giữa Apple và cơ quan thực thi pháp luật liên bang.
Trong trường hợp Máy chủ Exchange, chính phủ cảm thấy rằng nguy cơ tổn hại thêm đối với các công ty liên quan cần phải có hành động quyết liệt. Quyền Luật sư Hoa Kỳ Jennifer B. Lowery tại Quận phía Nam của Texas cho biết: 'Hoạt động được tòa án cho phép này để sao chép và xóa các web shell độc hại khỏi hàng trăm máy tính dễ bị tấn công cho thấy cam kết của chúng tôi trong việc sử dụng bất kỳ nguồn lực khả thi nào để chống lại tội phạm mạng'.
Về cơ bản, chính phủ đang gợi ý rằng nếu các công ty không thực hiện các bước để bảo vệ mạng của họ và loại bỏ các mối đe dọa mạng, thì chính phủ sẵn sàng tham gia và linh hoạt các cơ chế mạng của chính mình. Điều đó có nghĩa là nếu bạn muốn ngăn chặn FBI hoạt động kinh doanh của mình trong tương lai, hãy đóng cửa hậu.
