L'FBI hackera centinaia di pc per proteggerli dall'attacco Hafnium

14 Aprile 2021 20

Dopo gli attacchi informatici ai registri elettronici delle scuole e quelli ai danni dei vaccini, si torna a parlare di hacker: sembra paradossale, e potrebbe trattarsi di una mossa senza precedenti, ma l'FBI sta hackerando centinaia di computer per proteggerli da un attacco malevolo.

Per comprendere meglio la situazione è utile fare un passo indietro: dallo scorso marzo si parla di una nuova minaccia per cui Microsoft sta mettendo in guardia le aziende.

Si chiama Hafnium, e indica un gruppo di cyber criminali cinesi che sfrutta le vulnerabilità zero-day di Microsoft Exchange per infiltrarsi nei server Exchange locali delle vittime, accedendo alle caselle di posta elettronica delle aziende per sottrarne il contenuto.

L'ATTACCO A MICROSOFT EXCHANGE

Microsoft Exchange Server è un software di rete che consente la collaborazione in linea tra vari utenti di un'organizzazione; dunque, lo utilizzano generalmente le aziende e include calendari software, posta elettronica e gestione dei contatti. L'attacco avviene da remoto, senza bisogno di credenziali, e consente a qualsiasi malintenzionato di sfruttare i server a proprio piacimento. L'elevata diffusione di Exchange fa sì che siano molte le organizzazioni a rischio: solo in Italia sarebbero migliaia le aziende interessate.

Stando alle informazioni di pubblico dominio, l'attacco coinvolge i server Microsoft Exchange 2013, 2016 e 2019, mentre non interessa chi utilizza Microsoft Exchange Online. Hafnium entra nei sistemi attraverso la porta 443, nei casi in cui l'accesso sia disponibile, e sfrutta quattro vulnerabilità di Microsoft per ottenere accesso da remoto.

La tecnica utilizzata è l'apertura di una web shell che continua a funzionare finché rimane attiva, motivo per cui non è sufficiente applicare soltanto una patch ma verificare se il proprio server sia stato compromesso.

LA MOSSA DELL'FBI

Secondo quanto riferito, l'attacco Hafnium ha lasciato una serie di backdoor che potrebbero consentire l'accesso ad altri hacker. Quindi, l'FBI ha approfittato delle stesse backdoor per introdursi all'interno dei server e scongiurare il ripetersi degli attacchi, come ha spiegato il portavoce del Dipartimento di Giustizia statunitense:

"L'FBI ha agito inviando un comando tramite la web shell al server, che era progettato per far sì che il server eliminasse solo la web shell (identificata dal suo percorso file univoco)".

La parte più curiosa è che i proprietari dei server probabilmente non sono nemmeno al corrente del coinvolgimento dell'FBI, dato che il Dipartimento di Giustizia si è mosso con la piena approvazione di un tribunale del Texas e si limiterà a tentare di avvisare i proprietari dei server che ha tentato di assistere con questa azione mirata.

Il caso è interessante perché potrebbe anche costituire un precedente per le possibili reazioni ad attacchi hacker di grande portata, considerato che Microsoft ha impiegato un po' a reagire; comunque, i clienti Microsoft Exchange Server hanno a disposizione ormai da più di un mese le indicazioni per mettere al sicuro i propri server.


20

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Roberto Giuffrè

Meraviglia Windows!
Va difeso da sé stesso, e perfino il governo dopo che ha lasciato Microsoft libera di agire indisturbata nel monopolio, deve pure fare gli straordinari per sistemare le magagne di un'azienda che non ha manco sistemato il suo codice, tanto vende sempre lo stesso.

Rick Deckard®

Dai... Ma un server bastato su se Microsoft ha solo progetti di prodotti che esplodono e backup dei porno...

Ocram
Sandro

I giudici in fondo sono funzionari dello Stato tanto quanto gli agenti, quindi la differenza è molto labile. Tra l'altro mi sembra che la CIA e l'NSA si servano di corti segrete di cui non si sa nulla. In pratica hanno i "loro" giudici.

UnoQualunque

Con tutto il rispetto quando ho letto questa frase mi hanno iniziato a sanguinare gli occhi

Microsoft Exchange Server è un software di rete

Software di rete? Exchange è il mail server più utilizzato a livello mondiale, scrivere software di rete è un po troppo generico. Ed inoltre, ce l'avete fatta a scrivere un mezzo articolo su questo attacco, peccato che il disastro sia successo due mesi fa. Inoltre, ora mai tra patch e procedure per chiudere la falla i server dovrebbero essere stati messi al sicuro, se l'FBI con questa mossa ha trovato ancora server esposti andrei nel reparto IT di quell'azienda e licenzierei immediatamente il responsabile IT. Ok che uno zero-day non si può fermare, ma una volta scoperto l'attacco bisogna chiuderlo immediatamente. Mi sembra un po come il cryptolocker, una volta scoperto che il problema era il protocollo SMBv1, c'erano ancora tantissime aziende che non lo avevano isolato e il ransomware continuava a fare un bel po di danni.

DanieleGB

Sono commenti relativi al tuo nickname Marco ;-)

Ocram

Mi son perso qualcosa visto che sembrano tutti dei ritard4ti sotto questi commenti?

Alessio Ferri

E' legittimo finchè c'è un tribunale. Del resto i cracker prendono tutti i tuoi dati senza consultare nessuno. Credo ci sia una fondamentale differenza tra un organizzazione che agisce nei limiti dello stabilito con l'autorizzazione di un ente (FBI in questo caso) ed invece un organizzazione che fa quello che vuole a scopo malevolo senza rendere conto a nessuno (l'FBI quando non consulta i tribunali o i cracker o l'NSA sempre o la CIA sempre, etc)

Felk
JohnStrange

https://uploads.disquscdn.c...

asd555

Che schifo, mandiamo tutti una mail alla dirigenza dove esprimiamo sdegno e disgusto.

ginetto

Sempre sti cinesi

Klaus Heissler

e abbiamo anche scoperto che a disqus non piacciono i caratteri invertiti, vanno in spam.

asd555

IO VI AMO TUTTI.
Non pensavo di iniziare una roba del genere AHAHAHAHAH!!!

Klaus Heissler

https://uploads.disquscdn.c...

Artorias

Qualcosa mi dice che si è ribaltata la situazione, ma non so cosa...

comatrix

https://uploads.disquscdn.c...

STAFF

https://uploads.disquscdn.c...

https://uploads.disquscdn.c...

asd555

https://uploads.disquscdn.c...

Apple

Lavorare con iPad Pro M1 12.9: cosa si può fare davvero (e con quali compromessi)

HDMotori.it

Opel Mokka-e: il SUV elettrico messo alla prova, anche in viaggio | Video

Games

Tutti i giochi rinviati nel 2021 (fino ad oggi)

Android

Recensione OnePlus Nord 2: sarà lo smartphone giusto per molti