SIKKERHET

FBI hacker Exchange-serverne til andre for å fjerne bakdør

Har fått domstolens tillatelse til å rydde opp på servere som ingen tar vare på.

FBI har gått til det uvanlige skrittet å avinstallere bakdører på andres servere.
FBI har gått til det uvanlige skrittet å avinstallere bakdører på andres servere. Illustrasjonsfoto: Andy L/Flickr, creative commons
Harald BrombachHarald BrombachNyhetsleder
14. apr. 2021 - 17:00

Det er nå mer enn én måned siden Microsoft kom med sikkerhetsoppdateringer som fjerner de såkalte ProxyLogon-sårbarhetene i Exchange Server. Disse sårbarhetene gjør det blant annet mulig for angripere å installere bakdører på de sårbare serverne, noe de har gjort i ganske stor utstrekning. 

Til tross for at dette sikkerhetsproblemet har vært svært mye omtalt både av sikkerhetsaktører, pressen og Microsoft selv, er det mange Exchange-servere der ute som tilsynelatende er overlatt til seg selv. På mange av disse er det nå installert én eller flere bakdører som kan utnyttes av angripere. 

PST, FBI og en rekke andre internasjonale aktører tok denne måneden ned et ruternettverk som ble benyttet av en kjent russisk hackergruppe.
Les også

PST varslet norske ruter-eiere om sikkerhetshull

Fjerner kjent webshell

Dette har ført til at FBI har gjennomført en temmelig oppsiktsvekkende og uvanlig operasjon. Med en ransakingsordre fra den 9. april i hånden har spesialagenter tatt seg inn på amerikanske Exchange-servere via én av de kjente webshell-baserte bakdørene og fjernet nettopp denne bakdøren, som har vært identifiserbar gjennom en unik filsti. Dette skal tilsynelatende ha skjedd uten at serveradministratorene har fått beskjed om det. 

Begrunnelsen for å gjøre dette, er at det vil forhindre ondsinnede cyberaktører i å bruke bakdøren til å få ytterligere tilgang til serveren og å installere mer skadevare på dem, samtidig som de berørte servereierne ikke har respondert på oppfordringer å løse problemene selv.

I utgangspunktet har FBI bedt om å gjennomføre operasjonen over en periode på 14 dager, noe som betyr at den fortsatt pågår. Så langt skal operasjonen ha vært vellykket. 

Ikke tilstrekkelig alene

Dette betyr likevel ikke at disse serverne nå er sikre. Det er kun den ene bakdøren FBI fjerner. Det kan være flere bakdører, siden det er flere hackergrupper som utnytter sårbarhetene.

FBI har heller ikke installert de nødvendige sikkerhetsoppdateringene. På internett-eksponerte Exchange-servere hvor disse ikke er installert, er det trolig lite som forhindrer angripere å installere bakdører på nytt.

Microsoft kom tirsdag denne uken med nye sikkerhetsfikser til Exchange Server. Disse fjerner ytterligere fire alvorlige sårbarheter i programvaren. Det er så langt ikke kjent at disse blir utnyttet i angrep, men det anbefales at sikkerhetsoppdateringen blir installert så raskt som mulig.

Nettstedet til gruppa på det såkalt «mørke nettet» er beslagslagt av politiet.
Les også

Henger ut beryktet gruppe: − Vi har hacket hackerne

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.