En lo que se cree que es un movimiento sin precedentes, el FBI está intentando proteger cientos de ordenadores infectados por el hackeo de Hafnium, utilizando las propias herramientas de los ciberdelincuentes originales.

El ataque, que afectó a decenas de miles de clientes de Microsoft Exchange Server en todo el mundo y desencadenó una “respuesta de todo el gobierno” por parte de la Casa Blanca, supuestamente dejó una serie de puertas traseras que podrían permitir a cualquier pirata informático entrar de nuevo en esos sistemas. Ahora, el FBI ha aprovechado para utilizar esas mismas web shells / backdoors para borrarse de forma remota, una operación que la agencia califica de éxito.

Lo más sorprendente es que los propietarios de estos servidores Microsoft Exchange probablemente aún no sean conscientes de la implicación del FBI; el Departamento de Justicia dice que simplemente está “intentando avisar” a los propietarios que intentaron ayudar. Todo ello con la plena aprobación de un tribunal de Texas, según la agencia. Puedes leer la orden de registro e incautación no sellada y la solicitud aquí.

Será interesante ver si esto sienta un precedente para futuras respuestas a grandes hackeos como el de Hafnium. Aunque personalmente estoy indeciso, es fácil argumentar que el FBI está haciendo un servicio al mundo al eliminar una amenaza como esta – mientras que Microsoft puede haber sido dolorosamente lento con su respuesta inicial, los clientes de Microsoft Exchange Server también han tenido más de un mes para parchear sus propios servidores después de varias alertas críticas. Me pregunto cuántos clientes estarán enfadados y cuántos agradecidos de que haya sido el FBI, y no otro hacker, quien haya aprovechado la puerta abierta. Sabemos que la infraestructura gubernamental crítica, pero local, suele tener prácticas de seguridad atroces, la más reciente de las cuales fue la manipulación de dos suministros locales de agua potable.

El FBI aseguró que miles de sistemas fueron parcheados por sus propietarios antes de que comenzara su operación de eliminación de la puerta trasera Hafnium a distancia, y que sólo eliminó “las conchas web restantes de un grupo de hackers que podrían haber sido utilizadas para mantener y escalar el acceso persistente y no autorizado a las redes de Estados Unidos”.

“La eliminación autorizada  por el tribunal de las web shells maliciosas demuestra el compromiso del Departamento de interrumpir la actividad de hacking utilizando todas nuestras herramientas legales, no sólo los procesos judiciales”, reza un comunicado del Fiscal General Adjunto John C. Demers, de la División de Seguridad Nacional del Departamento de Justicia.

Con información de: Europa Press.