Le FBI accède aux serveurs cibles proxylogon pour perturber les cybercriminels

Le département américain de la Justice a autorisé le FBI à accéder aux systèmes vulnérables aux vulnérabilités proxylogon du serveur Microsoft Exchange pour supprimer les obus Web malveillants qui avaient été installés.

Les vulnérabilités zero-day – qui ont fait l’objet d’un patch hors bande d’urgence de Microsoft en mars 2021 – ont été fortement exploitées par des acteurs malveillants tout au long des deux premiers mois de l’année pour accéder aux instances sur place d’Exchange Server, compromettre les comptes de messagerie cibles et placer des shells Web pour permettre un accès continu.

Cette activité s’est intensifiée à la suite de la divulgation, avec plusieurs groupes, y compris certains opérateurs ransomware, en profitant de la vulnérabilité généralisée.

Le ministère de la Justice a déclaré que si de nombreuses équipes organisationnelles de l’informatique et de la sécurité étaient en mesure de supprimer les coquilles web, d’autres « semblaient incapables de le faire » et un grand nombre d’entre elles ont persisté.

Cela a conduit à l’opération maintenant déclassifiée dans laquelle le FBI a reçu carte blanche pour s’attaquer au problème, ce qui a été fait en émettant une commande à travers les coquilles web pour les serveurs compromis qui a été conçu pour provoquer le serveur à supprimer la coquille web, qui pourrait être identifié par son chemin de fichiers unique.

« Le retrait autorisé aujourd’hui par les tribunaux des obus web malveillants démontre l’engagement du ministère à perturber les activités de piratage à l’aide de tous nos outils juridiques, et pas seulement des poursuites », a déclaré le procureur général adjoint John Demers, de la Division de la sécurité nationale du ministère de la Justice.

« Combinés aux efforts déployés jusqu’à présent par le secteur privé et d’autres organismes gouvernementaux, y compris la publication d’outils et de correctifs de détection, nous montrons ensemble la force que le partenariat public-privé apporte à la cybersécurité de notre pays.

« Il ne fait aucun doute qu’il reste encore du travail à faire, mais il ne fait aucun doute que le Ministère s’est engagé à jouer son rôle intégral et nécessaire dans de tels efforts. »

Tonya Ugoretz, directrice adjointe par intérim de la Cyber Division du FBI, a ajouté : « Cette opération est un exemple de l’engagement du FBI à lutter contre les cybermenaces par le biais de nos partenariats durables avec les secteurs fédéral et privé.

« Notre action réussie devrait rappeler aux cyber-acteurs malveillants que nous imposerons des risques et des conséquences pour les cyber-intrusions qui menacent la sécurité nationale et la sécurité publique du peuple américain et de nos partenaires internationaux.

« Le FBI continuera d’utiliser tous les outils à notre disposition en tant que chef de file national de l’application de la loi et de l’agence de renseignement pour tenir les cyber-acteurs malveillants responsables de leurs actions. »

Il est important de noter que, bien que l’opération du FBI a réussi à supprimer les coquilles web qu’il a trouvé, il n’a pas patcher l’un des jours zéro, ou éliminer tout malware, ransomware ou d’autres outils malveillants qui peuvent avoir été installés via les coquilles web.

Il n’a pas non plus abordé un nouvel ensemble de vulnérabilités Microsoft Exchange divulguées le 13 avril dans la dernière mise à jour patch mardi, qui ont été découverts via les services de renseignement américains.

Le FBI communique maintenant avec tous les propriétaires et exploitants des systèmes accessibles, soit par l’intermédiaire de leurs coordonnées publiques, soit par l’intermédiaire de fournisseurs – comme un FAI – qui pourraient être en mesure de transmettre un message.

Ilia Kolochenko d’Immuniweb a déclaré que l’action mandatée par le tribunal était probablement une « sage décision » à la lumière du fait évident que beaucoup de propriétaires de serveurs avaient soit été inconscients de l’existence du serveur, ou n’avaient pas réussi à le patcher.

« Les serveurs piratés sont activement utilisés dans des attaques sophistiquées contre d’autres systèmes, amplifient les campagnes de phishing et entravent l’enquête sur d’autres intrusions en utilisant les proxys enchaînés », a déclaré Kolochenko.

« On peut donc soutenir qu’une telle suppression préventive peut être considérée comme une légitime légitime défense dans le cyberequable. Quoi qu’il en soit, ni les pirates ni les propriétaires de serveurs ne porteront plainte ou ne porteront plainte pour intrusion injustifiée.

« Ce qui est intéressant, c’est de savoir si le FBI transfère plus tard la liste des serveurs asessaités à la FTC ou procureur général de l’État pour enquête sur les mauvaises pratiques de protection des données en violation des lois de l’État et fédéral. »