De Amerikaanse FBI heeft deze week ingebroken op honderden besmette Microsoft Exchange Servers. Die unieke hack-operatie was bedoeld om de servers te beschermen tegen de inmiddels beruchte ‘Hafnium-hack’ door de achterdeurtjes te verwijderen.

In maart ontdekte Microsoft dat tienduizenden Exchange-servers wereldwijd het slachtoffer waren van een hackpoging door de - naar wordt aangenomen - Chinese hackersgroep Hafnium. De aanvallers combineerden verschillende kwetsbaarheden in de Exchange-softwareversies 2013 tot en met 2019 om binnen te kunnen dringen in bedrijfs- en overheidsnetwerken. Daardoor konden de hackers ook bij de bedrijfsmail komen. Microsoft heeft de kwetsbaarheden inmiddels gerepareerd en patches uitgegeven, maar dat was geen oplossing voor de vele al geïnfecteerde servers. De achterdeurtjes bij die bedrijven werden vervolgens weer door andere hackers gebruikt om in te breken en ransomware te installeren.

servers room wallpaper met fbi kl

Dezelfde methode
Volgens het openbaar ministerie in Texas, dat de toestemming gaf voor deze operatie, waren de achterdeurtjes van Hafnium lastig te ontdekken, maar is het de FBI afgelopen dinsdag gelukt door dezelfde methoden toe te passen als de hackers zelf. “De FBI voerde deze operatie uit door een commando via de webshell naar de server te sturen, met als opdracht aan de server om diezelfde specifieke webshell (geïdentificeerd door zijn unieke bestandspad) te verwijderen”, zo staat er in de verklaring van het openbaar ministerie. Volgens aanklager John Demers toont deze operatie aan “dat wij al onze juridische instrumenten zullen inzetten om hackactiviteiten te stoppen, niet alleen strafvervolging.”
De eigenaren van de betrokken Exchange-servers krijgen een mailtje dat de FBI ze uit de brand geholpen heeft. Maar alleen met het verwijderen van het achterdeurtje, voor de kwetsbaarheden zijn ze zelf verantwoordelijk.

Precedent?
Volgens deskundigen is dit de eerste keer dat dat de FBI op deze manier succesvol in de bres springt. Eigenlijk is dat niet de taak van de federale opsporingsdienst, maar van bedrijven en hun automatiseerders zelf. Het risico op verdere economische schade en op verspreiding van de malware werd echter te groot geacht. Critici, zo schrijft website Techcrunch, vrezen voor een precedent: als de FBI nu met toestemming van de rechter particuliere bedrijven mocht hacken, is het hek dan niet van de dam?