Dopo gli attacchi informatici ai registri elettronici delle scuole e quelli ai danni dei vaccini, si torna a parlare di hacker: sembra paradossale, e potrebbe trattarsi di una mossa senza precedenti, ma l'FBI sta hackerando centinaia di computer per proteggerli da un attacco malevolo.

Per comprendere meglio la situazione è utile fare un passo indietro: dallo scorso marzo si parla di una nuova minaccia per cui Microsoft sta mettendo in guardia le aziende.

Si chiama Hafnium, e indica un gruppo di cyber criminali cinesi che sfrutta le vulnerabilità zero-day di Microsoft Exchange per infiltrarsi nei server Exchange locali delle vittime, accedendo alle caselle di posta elettronica delle aziende per sottrarne il contenuto.

Microsoft Exchange Server è un software di rete che consente la collaborazione in linea tra vari utenti di un'organizzazione; dunque, lo utilizzano generalmente le aziende e include calendari software, posta elettronica e gestione dei contatti. L'attacco avviene da remoto, senza bisogno di credenziali, e consente a qualsiasi malintenzionato di sfruttare i server a proprio piacimento. L'elevata diffusione di Exchange fa sì che siano molte le organizzazioni a rischio: solo in Italia sarebbero migliaia le aziende interessate.

Stando alle informazioni di pubblico dominio, l'attacco coinvolge i server Microsoft Exchange 2013, 2016 e 2019, mentre non interessa chi utilizza Microsoft Exchange Online. Hafnium entra nei sistemi attraverso la porta 443, nei casi in cui l'accesso sia disponibile, e sfrutta quattro vulnerabilità di Microsoft per ottenere accesso da remoto.

La tecnica utilizzata è l'apertura di una web shell che continua a funzionare finché rimane attiva, motivo per cui non è sufficiente applicare soltanto una patch ma verificare se il proprio server sia stato compromesso.

Secondo quanto riferito, l'attacco Hafnium ha lasciato una serie di backdoor che potrebbero consentire l'accesso ad altri hacker. Quindi, l'FBI ha approfittato delle stesse backdoor per introdursi all'interno dei server e scongiurare il ripetersi degli attacchi, come ha spiegato il portavoce del Dipartimento di Giustizia statunitense:

"L'FBI ha agito inviando un comando tramite la web shell al server, che era progettato per far sì che il server eliminasse solo la web shell (identificata dal suo percorso file univoco)".

La parte più curiosa è che i proprietari dei server probabilmente non sono nemmeno al corrente del coinvolgimento dell'FBI, dato che il Dipartimento di Giustizia si è mosso con la piena approvazione di un tribunale del Texas e si limiterà a tentare di avvisare i proprietari dei server che ha tentato di assistere con questa azione mirata.

Il caso è interessante perché potrebbe anche costituire un precedente per le possibili reazioni ad attacchi hacker di grande portata, considerato che Microsoft ha impiegato un po' a reagire; comunque, i clienti Microsoft Exchange Server hanno a disposizione ormai da più di un mese le indicazioni per mettere al sicuro i propri server.