El FBI lanza una operación para eliminar las puertas traseras de los servidores de Microsoft Exchange pirateados

Una corte en Houston tiene autorizado una operación del FBI para “copiar y eliminar” puertas traseras de cientos de servidores de correo electrónico de Microsoft Exchange en los Estados Unidos, meses después de que los piratas informáticos usaran cuatro vulnerabilidades no descubiertas previamente para atacar miles de redes.

El Departamento de Justicia anunció la operación el martes, que describió como “exitoso”.

En marzo, Microsoft descubrió un nuevo grupo de piratas informáticos patrocinado por el estado de China, Hafnium, dirigido a servidores Exchange que se ejecutan desde redes de empresas. Las cuatro vulnerabilidades, cuando estaban encadenadas, permitieron a los piratas informáticos irrumpir en un servidor Exchange vulnerable y robar su contenido. Microsoft solucionó las vulnerabilidades, pero los parches no cerraron las puertas traseras de los servidores que ya habían sido violados. En cuestión de días, otros grupos de piratas informáticos comenzaron a atacar servidores vulnerables con las mismas fallas para implementar ransomware

.

La cantidad de servidores infectados disminuyó a medida que se aplicaron los parches. Pero cientos de servidores Exchange permanecieron vulnerables porque las puertas traseras son difíciles de encontrar y eliminar, dijo el Departamento de Justicia en un comunicado.

“Esta operación eliminó los proyectiles web restantes de un grupo de piratería informática que podrían haberse utilizado para mantener y aumentar el acceso persistente y no autorizado a las redes estadounidenses”, dice el comunicado. “El FBI llevó a cabo la eliminación emitiendo un comando a través del shell web al servidor, que fue diseñado para hacer que el servidor elimine solo el shell web (identificado por su ruta de archivo única)”.

El FBI dijo que está intentando informar a los propietarios por correo electrónico de los servidores de los que eliminó las puertas traseras.

El asistente del fiscal general John C. Demers dijo que la operación “demuestra el compromiso del Departamento de interrumpir la actividad de piratería utilizando todas nuestras herramientas legales, no solo los enjuiciamientos”.

El Departamento de Justicia también dijo que la operación solo eliminó las puertas traseras, pero no paró las vulnerabilidades explotadas por los piratas informáticos para empezar, ni eliminó el malware dejado.

Se cree que este es el primer caso conocido en el que el FBI limpia de manera efectiva redes privadas luego de un ciberataque. En 2016, la Corte Suprema adoptó medidas para permitir que los jueces estadounidenses emitir órdenes de registro e incautación fuera de su distrito. Los críticos se opusieron a la medida en ese momento, temiendo que el FBI pudiera pedirle a un tribunal amigo que autorizara las operaciones cibernéticas para cualquier parte del mundo.

Otros países, como Francia, han utilizado poderes similares antes secuestrar una botnet y apagarlo de forma remota.

Ni el FBI ni el Departamento de Justicia hicieron comentarios al cierre de esta edición.

Leave a Reply

Your email address will not be published. Required fields are marked *