O FBI estará a recorrer às mesmas técnicas usadas pelos hackers que atacaram mais de 30 mil empresas e organismos norte-americanos, tirando partido de uma falha no Microsoft Exchange Server, para entrar nos sistemas vulneráveis e remover o código que pode permitir novas investidas. 

A ação, tanto quanto se sabe, é pioneira, e tem o aval de um tribunal do Texas, que autorizou a campanha e a justifica como uma medida que põe no terreno todos os meios legalmente disponíveis para proteger as redes americanas. 

A agência já garantiu que a operação está a ser um sucesso, mas não revelou que alcance tem ou pode vir a ter. Também admitiu que não está a avisar previamente os visados. Essa notificação está a ser feita, pontualmente, no fim do “apoio” prestado. 

Em causa, está a remoção do software que continua instalado nos sistemas visados pelo ataque do grupo, na altura foi identificado como Hafnium. Este software permite manter abertos caminhos (backdoors) para que os atacantes voltem a entrar nos sistemas de correio das empresas. 

Para o evitar, o FBI está a usar o mesmo método que qualquer atacante usaria e a tirar partido destas portas de entrada nos sistemas, mas para remover remotamente o script (ou web shell) que permite criá-las e, partir daí, desenvolver ataques persistentes, que se prolongam no tempo. A informação foi avançada pelo Tech Crunh e entretanto comentada pelo departamento de justiça, que explicou o processo. "O FBI conduziu a remoção emitindo um comando através da web shell para o servidor”. Este comando foi “concebido para fazer com que o servidor apagasse apenas a web shell”. 

Ataque ao serviço de email da Microsoft já afetou mais de 250.000 organizações por todo o mundo
Ataque ao serviço de email da Microsoft já afetou mais de 250.000 organizações por todo o mundo
Ver artigo

A correção para a falha explorada no ataque já tinha entretanto sido disponibilizada pela Microsoft, há algumas semanas. O próprio FBI reconhece que milhares de sistemas foram já corrigidos pelos proprietários e também acrescenta que a operação em curso, só visa sistemas que continuam a ter software que pode ser usado para “manter ou escalar ataques persistentes e acesso não autorizado a redes dos Estados Unidos”.    

Estima-se que pelo menos 30.000 organizações norte-americanas tenham sido afetadas pelo ataque, na sua maioria pequenos negócios, administrações de cidades e governos locais. No que toca a vítimas fora dos Estados Unidos, o número sobe para 250.000 organizações. Entre as entidades comprometidas na Europa esteve, por exemplo, a Autoridade Bancária Europeia.

Em declarações ao jornalista Brian Krebs, dois investigadores que tinham entrado em contacto com assessores de segurança nacional dos Estados Unidos, indicaram à data que o grupo responsável pelo ataque tinha tomado o controlo de centenas de milhares de servidores do Exchange por todo o mundo, com cada vítima a representar uma organização que recorre ao serviço de email da Microsoft.