Ресурс TechCrunch повідомив про отримання ФБР санкції суду в Х'юстоні (Техас, США) на проведення операції з «копіювання і видалення» бекдорів з сотень поштових серверів Microsoft Exchange в Сполучених Штатах, що використовувалися хакерами для атаки на тисячі мереж.
У березні Microsoft повідомила про атаку на сервери Exchange, за якою, імовірно, стояла нова хакерська група Hafnium, спонсорована Китаєм. Використовуючи об'єднані в ланцюжок чотири вразливості 0-day в програмному забезпеченні Microsoft Exchange Server, хакери проникли на сервер і викрали його вміст, залишивши шкідливе ПЗ. Microsoft усунула вразливості, але патчі не закрили бекдори вже зламаних серверів. І через деякий час вже інші хакерські групи почали атакувати сервери, використовуючи ті ж методи і намагаючись запустити програми-вимагачі.
У заяві Міністерства юстиції США зазначено, що, хоча в міру внесення виправлень в ПЗ число заражених серверів знизилося, багатьом власникам не вдалося видалити шкідливі веб-оболонки (скрипти), що забезпечують хакерам віддалений доступ.
В результаті проведеної ФБР операції було зроблено видалення решти веб-оболонок хакерської групи Hafnium, які могли використовуватися для підтримки і розширення постійного несанкціонованого доступу до мереж США.
«ФБР провело видалення, відправивши серверу команду через веб-оболонку, яка була розроблена для того, щоб змусити сервер видалити тільки веб-оболонку (ідентифіковану його унікальним шляхом до файлу)», - зазначено в повідомленні Мін'юсту США.
