O Departamento de Justiça dos EUA confirmou a autenticidade da operação do FBI e descreveu-a como sido “bem-sucedida”. O FBI conseguiu a autorização de um tribunal no Estado do Texas para ‘infetar’ centenas de servidores de email Microsoft Exchange usando as ferramentas do grupo de hackers Hafnium e explorando as mesmas vulnerabilidades exploradas pelos piratas. O objetivo das autoridades, no entanto, era eliminar estas backdoors e garantir que os sistemas ficavam seguros.
Recorde-se que, em março, a Microsoft revelou que o grupo de piratas chineses Hafnium estava a explorar quatro vulnerabilidades encontradas em máquinas com o Exchange. A exploração combinada das quatro falhas permitiu aos piratas aceder aos sistemas e roubar conteúdos. As vulnerabilidades foram corrigidas entretanto, mas as backdoors abertas e exploradas ficaram por fechar e em poucos dias estavam novamente a ser usadas pelos piratas para descarregar ransomware, explica o Tech Crunch.
O FBI procurou então a autorização para entrar nas centenas de máquinas afetadas usando a mesma ‘porta de entrada’ e com as mesmas ferramentas dos hackers. “Esta operação removeu um web shell dos hackers que se mantinha nos sistemas e que podia ter sido usado para manter e escalar acessos não autorizados às redes dos EUA”, afirma o Departamento de Justiça. A remoção do componente foi feita através “de um comando do web shell para o servidor, que foi desenhado para fazer com que o servidor apagasse apenas o web shell (identificado pelo caminho de ficheiro único)”, complementam as autoridades.
Esta é a primeira operação de que há registo onde o FBI atua diretamente sobre redes privadas após um ciberataque. Uma das críticas a esta ação é a de que os proprietários das redes podem não estar cientes de que o FBI os estaria a ‘piratear’ numa tentativa de ajudar. O Departamento de Justiça confirma que estava meramente a “tentar avisar” os visados, sem detalhar se houve algum esforço em notificações e avisos mais formais.