NewsSicurezza

L’FBI ha rimosso le backdoor dai server Exchange compromessi

Un tribunale di Houston ha autorizzato un’operazione dell’FBI per “copiare e rimuovere” backdoor da centinaia di server di posta elettronica di Microsoft Exchange infetti negli Stati Uniti, 

Nel rapporto, l’FBI dichiara che comunque molti proprietari di sistemi infetti avevano già rimosso con successo le backdoor da migliaia di computer. Tuttavia, l’agenzia di intelligence ha potuto constatare che centinaia di queste web shell erano ancora attive. Con l’operazione, l’FBI è stato in grado di rimuovere le restanti web shell utilizzate da uno specifico gruppo di hacker. Per tenere traccia di questi attacchi è stata anche creata una copia delle web shell.

L’operazione segue la principale vulnerabilità presente in tutti i sistemi che eseguono Exchange Server. Un exploit per ottenere i diritti di accesso ai server vulnerabili è stato ampiamente condiviso nelle comunità di hacker e i server sono stati violati in modo rapido e sostenuto. In molti casi, gli aggressori hanno inizialmente installato una web shell che fungeva da backdoor per entrare in modo profondo all’interno dei sistemi. Anche se gli amministratori avessero risolto le vulnerabilità, le web shell potrebbero essere lasciate indietro.

FBI: rimosse solo le web shell che fungevano da backdoor nei server Exchange. Ma la privacy?

L’FBI afferma che queste web shell sono state rimosse con successo. Tuttavia, l’agenzia di intelligence aggiunge che non si è impegnata nella correzione di eventuali altre vulnerabilità e nella rimozione di altri malware che gli hacker potrebbero aver posizionato. Questo è il motivo per cui il Federal Bureau consiglia vivamente agli amministratori dei server Exchange di intraprendere da soli le misure necessarie per proteggere i propri sistemi.

FBI backdoor server Exchange

Per quanto è noto, (e il condizionale è d’obbligo) questa è la prima volta che l’FBI ha dispiegato le proprie risorse per irrompere nei sistemi degli utenti finali. Quanto meno questa volta è certo che questo è stato fatto con l’obiettivo di proteggerli. Presumibilmente molti amministratori non sanno che l’FBI è stato attivo nei loro sistemi e neanche se “l’intrusione” si è limitata alla sola pulizia dei sistemi. Come si legge nel rapporto,  L’FBI pare che stia cercato di contattare gli amministratori, utilizzando le informazioni di contatto pubbliche. Se tali informazioni non sono disponibili, l’agenzia di intelligence invierà un messaggio al provider di servizi Internet della vittima nella speranza che fosse inoltrato.

Da non perdere questa settimana su Techbusiness

 

📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano
💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨‍⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!

Autore

  • Danilo Loda

    100% "milanes", da una vita scrivo di bit e byte e di quanto inizia con on e finisce con off. MI piace tutto quello che fa rumore, meglio se con un motore a scoppio. Amo viaggiare (senza google Maps) lo sport, soprattutto se è colorato di neroazzuro.

    Visualizza tutti gli articoli

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button