Bộ Tư pháp Mỹ thông báo FBI được phép truy cập vào hàng trăm máy tính trên khắp nước Mỹ, những máy tính đang chạy các phiên bản phần mềm Microsoft Exchange Server từng bị hacker tấn công, để bóc gỡ mã độc hacker để lại.
Đây là phản ứng mới nhất của cơ quan thực thi pháp luật đối với chiến dịch tấn công tận dụng các lỗ hổng trong Microsoft Exchange Server xảy ra từ hồi đầu năm. Nhiều nhóm tin tặc đã sử dụng các lỗi bảo mật này để đột nhập vào máy chủ Exchange, trong một số trường hợp, đánh cắp email của nạn nhân. Một nhóm tin tặc bị nghi ngờ được cho là xâm nhập vào hàng chục nghìn máy chủ Exchange.
"FBI đã tiến hành xóa bằng cách ra một lệnh thông qua webshell tới máy chủ, lệnh này được thiết kế để máy chủ chỉ xóa web shell (được xác định bằng đường dẫn tệp duy nhất)", thông báo của FBI cho biết. Về bản chất, webshell là một giao diện mà tin tặc đã mở ra để chúng có thể giao tiếp với hệ thống dễ bị tấn công. Thông báo cho biết hành động của FBI không tự vá các hệ thống cơ bản hoặc loại bỏ bất kỳ phần mềm độc hại nào khác.
Thay vào đó, bằng cách xóa webshell, nhân viên FBI sẽ ngăn chặn các tác nhân mạng độc hại sử dụng webshell để truy cập vào các máy chủ và cài đặt thêm phần mềm độc hại. Nhân viên FBI sẽ truy cập webshell, nhập mật khẩu, tạo bản sao bằng chứng của webshell và sau đó đưa ra lệnh thông qua từng webshell.
Trợ lý Bộ trưởng Tư pháp John C. Demers cho Bộ phận An ninh Quốc gia của Bộ Tư pháp Mỹ cho biết: "Kết hợp với nỗ lực của khu vực tư nhân và các cơ quan chính phủ khác, bao gồm cả việc phát hành các công cụ phát hiện và bản vá, chúng ta đang cùng nhau thể hiện sức mạnh của quan hệ đối tác công tư mang lại cho an ninh mạng trên đất nước chúng ta. Không nghi ngờ gì nữa, cơ quan chức năng cam kết đóng vai trò thiết yếu của mình trong những nỗ lực bảo vệ an ninh mạng đất nước”.
Người phát ngôn của Microsoft từ chối bình luận về vụ tấn công. Trước đó, tài khoản Twitter của Cơ quan An ninh Quốc gia Mỹ đã đăng một bài viết trên blog của Microsoft, trong đó khuyến nghị người dùng cài đặt các bản vá bảo mật mới, bao gồm cả những bản vá liên quan đến lỗ hổng Exchange Server.
Trong khi đó, theo hãng tin Fox Business, quan chức an ninh mạng hàng đầu tại Nhà Trắng cũng đã chỉ đạo tất cả các cơ quan chính phủ khẩn trương áp dụng các bản vá mới cho máy chủ email Microsoft Corp Exchange để ngăn chặn tin tặc tiếp tục khai thác tấn công.
Fox Business gọi đây là “Chỉ thị hiếm hoi”, áp dụng cho các bản sửa lỗi phần mềm cho 4 lỗ hổng được Cơ quan An ninh Quốc gia Mỹ (NSA) phát hiện và đã báo cáo cho Microsoft.
Trước đó, Microsoft cho biết đến nay, họ chưa thấy các lỗ hổng được khai thác, tuy nhiên, tin tặc sẽ nghiên cứu các bản vá mới để xem họ đang sửa những gì, sau đó triển khai các cuộc tấn công chống lại các máy chưa được vá.
Các lỗ hổng mới nằm trên những lỗ hổng được sử dụng trong một loạt các cuộc tấn công hồi đầu năm nay đã xâm phạm hơn 20.000 máy chủ Exchange tại chỗ của Mỹ, xử lý các phiên bản web của thư Outlook.
Sự tham gia tích cực phòng chống tấn công mạng của các quan chức Mỹ kiến sẽ còn tăng tốc hơn nữa, sau khi Tổng thống Mỹ Mỹ Joe Biden đề cử 2 cựu quan chức cấp cao của NSA vào các vị trí chủ chốt phụ trách lĩnh vực an ninh mạng trong chính quyền của ông.
Tổng thống Joe Biden đã bày tỏ mối quan ngại về các hoạt động tấn công mạng, đồng thời khẳng định đội ngũ của ông sẽ coi vấn đề an ninh mạng là một ưu tiên hàng đầu và nhanh chóng có biện pháp ứng phó ngay khi ông nhậm chức vào tháng 1/2021.