El Buró Federal de Investigaciones de E.U. (FBI) recibió recientemente una autorización legal para eliminar los shells web de múltiples servidores Micrsoft Exchange comprometidos por un grupo de actores de amenazas identificados como HAFNIUM, todo esto sin tener que esperar la aprobación de las organizaciones comprometidas. Este riesgo de seguridad fue eliminado en una serie de actualizaciones lanzadas por Microsoft a inicios del mes de marzo.
Las fallas corregidas fueron identificadas como ProxyLogon y habían sido explotadas por los hackers a inicios de 2021 para instalar software malicioso en los servidores de Exchange afectados. Los shells web instalados brindaban a los atacantes acceso remoto a los servidores, lo que permitía extraer información confidencial.
Semanas después de que estos ataques fueron documentados, Microsoft comenzó a lanzar scripts para eliminar algunos de estos shells al tiempo que otros grupos de hacking lanzaban campañas de infección de ransomware, cryptojackers, entre otras variantes de software malicioso.
Esta semana, el Departamento de Justicia de E.U. (DOJ) emitió un comunicado que detalla la emisión de una orden judicial para acceder a los servidores de Microsoft Exchange comprometidos y eliminar el shell web malicioso, además de tomar algunos registros del ataque. Esta orden fue concedida al FBI ya que las autoridades consideran que algunos propietarios de servidores vulnerables no cuentan con los recursos técnicos para aplicar las mitigaciones lanzadas por Microsoft.
El DOJ argumenta que notificar a los propietarios de estos servidores podría haber puesto en riesgo el éxito de la operación: “Se ha solicitado la aprobación de la Corte para retrasar la notificación hasta mayo de 2021, un mes después de comenzar a corregir las fallas en estas implementaciones”, señalan los documentos de la corte.
Una unidad especializada del FBI accedió al shell web empleando contraseñas extraídas por los actores de amenazas, además de realizar copias para la presentación de evidencias para finalmente ejecutar un comando de desinstalación del shell: “Nuestro personal realizará este proceso de forma íntegra en las implementaciones afectadas”, señala el FBI en una declaración jurada.
Esta orden fue otorgada por un tribunal de Houston, Texas, brindando a la agencia federal un plazo de 14 días para eliminar las amenazas de los servidores de Exchange comprometidos. El FBI también debía notificar a los propietarios de estos servidores una vez terminado el periodo de actualización.
Ahora mismo las autoridades están en proceso de notificar a las víctimas de esta operación, tarea que realizó el Buró a través de su dirección email oficial. Los propietarios de servidores que reciban este mensaje no deben realizar acciones adicionales, aunque pueden ponerse en contacto con funcionarios en la agencia para mayor información.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.