Hôm thứ Ba vừa qua Bộ Tư pháp Hoa Kỳ (DoJ) thông báo các đặc vụ FBI đã thực hiện một hoạt động mạng theo lệnh của tòa án để xóa các web shell độc hại khỏi hàng trăm máy chủ Microsoft Exchange đã bị xâm phạm trước đó ở Hoa Kỳ mà chủ sở hữu của chúng không hề hay biết.

Sau khi bùng phát các cuộc tấn công Zero-Day nhằm vào các bản cài đặt Exchange Server vào tháng Giêng, các tổ chức đã cố gắng bảo vệ các máy chủ email không an toàn của Microsoft và gỡ webshell do kẻ tấn công cài đặt. Nhưng một số doanh nghiệp không thể sửa chữa hệ thống của họ hoặc gỡ cài đặt phần mềm độc hại đã được gắn vào.

FBI đã “loại bỏ web shell còn lại của một nhóm hacker ban đầu có thể đã được sử dụng để giữ lại và nâng cao khả năng truy cập trái phép đang diễn ra vào các mạng của Hoa Kỳ” trong hoạt động được ghi nhận đầu tiên thuộc loại này

Theo hồ sơ của tòa án, các đặc vụ FBI đã xóa web shell bằng cách gửi lệnh tới máy chủ thông qua web shell, hướng dẫn nó chỉ gỡ cài đặt web shell (được xác định bằng đường dẫn tệp duy nhất của nó).

Bộ Tư pháp giải thích: “Bởi vì mỗi web shell bị FBI xóa đều có đường dẫn và tên tệp cụ thể, chúng có thể khó xác định và xóa hơn đối với các chủ sở hữu máy chủ cá nhân so với các web shell khác”.

Mặc dù các đặc vụ FBI đã sao chép và xóa các trình bao web cho phép kẻ tấn công truy cập cửa hậu vào máy chủ, các doanh nghiệp vẫn có thể dễ bị tấn công

Bộ Tư pháp tuyên bố rằng “hoạt động này có hiệu quả trong việc sao chép và xóa một số webshell nhất định”. “Tuy nhiên, nó không sửa được bất kỳ lỗ hổng zero-day nào trong Microsoft Exchange Server, cũng như không kiểm tra hoặc gỡ cài đặt bất kỳ phần mềm độc hại hoặc công cụ hack bổ sung nào mà các nhóm hack có thể đã cài đặt trên mạng nạn nhân bằng cách tận dụng web shell.”

Mặc dù ban đầu Microsoft đổ lỗi cho các cuộc tấn công là các tác nhân đe dọa HAFNIUM có liên kết với Trung Quốc vào tháng Giêng, một số nhóm hack đã nhanh chóng theo sau sau khi các lỗ hổng Exchange được công khai

HAFNIUM chủ yếu nhắm mục tiêu đến các tổ chức ở Hoa Kỳ, bao gồm các nhà nghiên cứu bệnh truyền nhiễm, công ty luật, cơ sở giáo dục đại học, nhà thầu quốc phòng, tổ chức tư vấn chính sách và tổ chức phi chính phủ (NGO).

Với phần lớn công việc đã hoàn thành, FBI hiện đang cố gắng liên hệ với chủ sở hữu hoặc người quản lý của các máy mà từ đó các phần tử trang web đã được gỡ bỏ.

Các tổ chức tin rằng Máy chủ Microsoft Exchange của họ vẫn bị xâm phạm nên tìm kiếm sự hỗ trợ từ Văn phòng hiện trường FBI tại địa phương của họ.

Tên của các công ty và tổ chức liên quan đến hoạt động, cũng như địa chỉ IP của họ, đã được biên tập lại khỏi hồ sơ tòa án có thể truy cập công khai.

Phát hiện của hoạt động này trùng với việc vá bốn lỗ hổng bảo mật quan trọng bổ sung trong Exchange Server như một phần của gói Bản vá thứ ba của tháng này. Do mức độ nghiêm trọng của các vấn đề bổ sung, Microsoft đã hợp tác với Cơ quan An ninh Quốc gia (NSA) của Hoa Kỳ để thúc đẩy các bản vá mới nhất được triển khai ngay lập tức

Security365 – Trung Tâm Đào Tạo Trực Tuyến Hacker Thiện Chí & Điều Tra Viên Máy Tính theo chuẩn ANSI của NSA và Bộ Quốc Phòng Mỹ