Serveurs Exchange infectés: le FBI fait le ménage sans l'aval des entreprises touchées
Ce serait une première aux Etats-Unis en matière de cyberdéfense. Le FBI a reçu l’autorisation d’un tribunal pour nettoyer à distance les serveurs infectés dans la vaste cyberattaque exploitant des failles dans Exchange.
Microsoft avait tiré la sonnette d’alarme: suite à la découverte de vulnérabilités touchant les serveurs Exchange, les patchs ne suffisent pas. Même après avoir appliqué les correctifs, les attaquants peuvent conserver un accès aux systèmes infectés. Les entreprises concernées étaient invitées à enquêter pleinement sur les systèmes exposés, afin de détecter la présence d'opérateurs de malwares et ransomwares. Des portes dérobées détectables notamment en identifiant des web shells. Mais la suppression de ces accès ne se déroule visiblement pas de façon assez efficace aux yeux du FBI, qui a reçu l’autorisation d’un tribunal à Houston pour s'occuper de nettoyer à distance des serveurs infectés, selon un communiqué du département de la Justice des Etats-Unis. Une première aux Etats-Unis dans le cadre d’une cyberattaque, selon le site spécialisé Techcrunch.
Décrite comme un succès, l’opération s’est focalisée sur un seul web shell placé par l’un des groupes de hackers exploitant les failles. Son identité n’est pas divulguée, ni le nombre de serveurs ayant fait l’objet d’un contrôle à distance par le FBI. L'agence fédérale «a procédé à la suppression en envoyant une commande au serveur par le biais du web shell, conçue pour que le serveur ne supprime que le web shell [malveilant]», explique le département de la Justice.
Cette opération s’est déroulée sans l’aval des entreprises concernées, le communiqué précisant que «le FBI tente de notifier l'opération autorisée par le tribunal à tous les propriétaires ou exploitants des ordinateurs dont il a retiré les web shells du groupe de pirates».
