Tribunal de Distrito de los Estados Unidos, Distrito Sur de Texas, División de Houston ha autorizado una operación completa del FBI que está destinado a copiar y eliminar las puertas traseras que se encuentran en cientos de servidores de correo electrónico de Microsoft Exchange en los Estados Unidos. Esto está sucediendo meses después de que los piratas informáticos usaran vulnerabilidades, que no se descubrieron en ese momento, para apuntar y atacar miles de redes.

14/04/2021: el FBI ha lanzado una operación para eliminar las puertas traseras de los servidores Microsoft pirateados

La Departamento de Justicia anunció el martes el esfuerzo autorizado por la corte para interrumpir la explotación de las vulnerabilidades de Microsoft Exchange Server, y lo describió como exitoso.

Ahora, para darle un poco más de historia de fondo, en marzo, Microsoft logró descubrir un nuevo grupo de piratería patrocinado por el estado de China conocido como Hafnium, que terminó apuntando a servidores Exchange que se ejecutaban desde redes de empresas. Estas cuatro vulnerabilidades, cuando se encadenaron, lograron permitir que los piratas informáticos ingresaran a un servidor Exchange vulnerable y, como tal, robaran el contenido que tenía.

Con el tiempo, Microsoft logró corregir estas vulnerabilidades; sin embargo, los parches realmente no pudieron arreglar las puertas traseras de los servidores que ya habían sido violados. A lo largo de los días siguientes, otros grupos de piratas informáticos comenzaron a atacar los servidores vulnerables con las mismas fallas para implementar ransomware.

Debe saber que a medida que los parches terminaron aplicándose a todos y cada uno de los servidores, la cantidad de servidores infectados disminuyó; sin embargo, cientos de servidores Exchange permanecieron vulnerables debido al hecho de que las puertas traseras eran difíciles de encontrar y eliminar.

Bueno, esto es interesante. Hace unos días, el FBI obtuvo el visto bueno para acceder a las computadoras de algunos estadounidenses pirateadas a través de Exchange y eliminar las puertas traseras que dejaron los piratas informáticos. https://t.co/In8Au7nuWz

– Kevin Collier (@kevincollier) 13 de abril de 2021

Según una declaración del Departamento de Justicia: “Esta operación eliminó los proyectiles web restantes de un grupo de piratería temprana que podrían haberse utilizado para mantener y aumentar el acceso persistente y no autorizado a las redes estadounidenses. El FBI llevó a cabo la eliminación emitiendo un comando a través del shell web al servidor, que fue diseñado para hacer que el servidor elimine solo el shell web (identificado por su ruta de archivo única) “.

De hecho, el FBI declaró que está intentando informar a tantos propietarios como sea posible a través del correo electrónico de los servidores a través de los cuales eliminó las puertas traseras.

Dicho esto, el asistente del fiscal general John C. Demers dijo que la operación logró demostrar el compromiso del departamento de interrumpir la actividad de piratería mediante el uso de todas las herramientas legales, no solo los enjuiciamientos.

Tenga en cuenta que esta operación logró eliminar las puertas traseras y no paró las vulnerabilidades que los piratas informáticos explotaron para eliminar cualquier malware dejado después de la eliminación de dichas puertas traseras. En un caso similar, en 2016, la Corte Suprema se movió para permitir que los jueces estadounidenses emitieran una orden de registro e incautación fuera de su distrito, y los críticos se opusieron a la medida en ese momento, por temor a que el FBI pudiera pedirle a un tribunal amigo que autorizara operaciones cibernéticas en cualquier parte del mundo.

Si echamos un vistazo a otros países, como Francia, han utilizado métodos similares para secuestrar una botnet y cerrarla de forma remota, lo cual es bastante interesante.