Gran operación del FBI para intentar frenar a los hackers chinos

 Un tribunal de Houston (Texas, USA) autorizó una operación del FBI para "copiar y eliminar" puertas traseras de cientos de servidores de correo electrónico de Microsoft Exchange en USA.

Los hackers chinos le hicieron un daño considerable a Microsoft Exchange.

Microsoft Exchange Server es un servidor de correo y un servidor de calendario desarrollado por Microsoft. Se ejecuta exclusivamente en sistemas operativos Windows Server.

 

Esto sucede meses después de que los piratas informáticos utilizaran 4 vulnerabilidades no descubiertas anteriormente para atacar miles de redes.

 

El Departamento de Justicia anunció la operación, que calificó de "exitosa".

 

Hafnium

 

En marzo 2021, Microsoft descubrió un nuevo grupo de piratas informáticos patrocinado por China, Hafnium, dirigido a servidores Exchange que se ejecutan desde redes de empresas. 

 

Hafnium es un grupo de ciberespionaje, "altamente calificado y sofisticado", y Microsoft nombró a Hafnium como el grupo responsable de la violación de datos de Microsoft Exchange Server, y alegó que estaban "patrocinados por el Estado y operaban fuera de China". 

 

Según Microsoft, tienen su sede en China pero utilizan servidores privados virtuales basados ​​en USA, y se han dirigido a "investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG". 

 

El gobierno chino ha negado la responsabilidad por la violación de Microsoft en marzo de 2021, cuando se informó que el grupo tenía acceso al 'shell web' de China Chopper, que utilizó en la filtración de datos de Microsoft Exchange Server. 

 

Un 'shell web' es una interfaz maliciosa que permite el acceso y el control remotos a un servidor web al permitir la ejecución de comandos arbitrarios. Se puede cargar un 'shell web' en un servidor web para permitir el acceso remoto al servidor web, como el sistema de archivos del servidor web. 

 

Un shell web a menudo se considera un troyano de acceso remoto.

 

China Chopper es una puerta trasera bastante simple en términos de componentes. Tiene 2 clave: el binario de cliente de comando y control de 'shell web' (CnC) y una carga útil de 'shell web' basada en texto (componente de servidor). 

 

La carga útil basada en texto es tan simple y corta que un atacante podría escribirla a mano directamente en el servidor de destino, sin necesidad de transferir archivos.

 

Al ataque

 

Las 4 vulnerabilidades, cuando estaban encadenadas, permitieron a los piratas informáticos irrumpir en un servidor Exchange vulnerable y robar su contenido. 

 

Microsoft solucionó las vulnerabilidades, pero los parches no cerraron las puertas traseras de los servidores que ya habían sido violados. 

 

En cuestión de días, otros grupos de piratas informáticos comenzaron a atacar servidores vulnerables con las mismas fallas para implementar ransomware.

 

El número de servidores infectados disminuyó a medida que se aplicaron los parches. 

 

Pero cientos de servidores Exchange permanecieron vulnerables porque las puertas traseras son difíciles de encontrar y eliminar, dijo el Departamento de Justicia en un comunicado.

 

"Esta operación eliminó los 'proyectiles web' restantes de un grupo de piratería informática que podrían haberse utilizado para mantener y aumentar el acceso persistente y no autorizado a las redes de USA", según el comunicado. 

 

"El FBI llevó a cabo la eliminación emitiendo un comando a través del 'shell web' al servidor, que fue diseñado para hacer que el servidor elimine solo el shell web (identificado por su ruta de archivo única)".

 

El FBI dijo que está intentando informar por correo electrónico a los propietarios de los servidores que eliminó las puertas traseras.

 

El asistente del fiscal general John C. Demers dijo que la operación "demuestra el compromiso del Departamento de interrumpir la actividad de piratería utilizando todas nuestras herramientas legales, no solo los enjuiciamientos".

 

El Departamento de Justicia también dijo que la operación solo eliminó las puertas traseras, pero no detuvo las vulnerabilidades explotadas por los piratas informáticos para empezar ni eliminó el malware dejado.

 

Se cree que es el primer caso conocido en el que el FBI limpia de manera efectiva redes privadas luego de un ciberataque. 

 

En 2016, la Corte Suprema se movilizó para permitir que los jueces estadounidenses emitieran órdenes de registro e incautación fuera de su distrito. 

 

Los críticos se opusieron a la medida en ese momento, temiendo que el FBI pudiera pedirle a un 'tribunal amigo' que autorizara las operaciones cibernéticas para cualquier parte del mundo.

 

Otros países, como Francia, han utilizado poderes similares antes para secuestrar una botnet y cerrarla de forma remota.


Fuente: u24News

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Imagen
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el  76%  del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el  90%  de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en parte, lo que vuelv
Leer más

Explotan el día cero de la VPN de Fortinet para robar credenciales

Imagen
  Los actores de amenazas chinos utilizan un kit de herramientas de post-explotación personalizado llamado 'DeepData' para explotar una vulnerabilidad de día cero en el cliente VPN de Windows FortiClient de Fortinet que roba credenciales. El día cero permite a los actores de amenazas eliminar las credenciales de la memoria después de que el usuario se haya autenticado con el dispositivo VPN. Los investigadores de Volexity informan que descubrieron esta falla a principios de este verano y la informaron a Fortinet, pero el problema sigue sin solucionarse y no se le ha asignado ningún CVE. "Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y Fortinet reconoció el problema el 24 de julio de 2024",   explica el informe   . "Al momento de escribir este artículo, este problema sigue sin resolverse y Volexity no tiene conocimiento de un número CVE asignado". Apuntando a las credenciales de VPN Los ataques son realizados por piratas informáticos
Leer más

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS

Imagen
  Microsoft confirmó ayer que una interrupción de nueve horas el martes, que derribó e interrumpió varios servicios de Microsoft 365 y Azure en todo el mundo, fue provocada por un ataque de denegación de servicio distribuido (DDoS). Redmond dice que la interrupción afectó a Microsoft Entra, algunos servicios de Microsoft 365 y Microsoft Purview (incluidos Intune, Power BI y Power Platform), así como a Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy y Azure Portal. La compañía confirmó en una   declaración de mitigación   publicada hoy que la causa principal detrás de la interrupción de ayer fue un ataque DDoS, aunque aún no lo ha vinculado a un actor de amenaza específico. "Si bien el evento desencadenante inicial fue un ataque de denegación de servicio distribuido (DDoS), que activó nuestros mecanismos de protección DDoS, las investigaciones iniciales sugieren que un error en la implementación de nuestras defensas amplificó el im
Leer más