Aux États-Unis, le Federal Bureau of Investigation (FBI) a mené une opération approuvée par un tribunal pour « copier et supprimer » les web shells (ou codes encoquillés) malveillants de centaines de systèmes à travers les États-Unis qui ont été compromis plus tôt cette année par l'exploitation massive de failles de type zéro-day dans Microsoft Exchange Server.
Selon le ministère américain de la justice (DoJ), de nombreux administrateurs informatiques ont depuis nettoyé leurs systèmes des codes encoquillés malveillants, qui étaient utilisées pour accéder aux serveurs par une porte dérobée. Cependant, d'autres systèmes « ont persisté sans être nettoyés », ce qui explique cette opération.
« Cette opération a permis de supprimer les codes encoquillés restants d'un groupe de pirates qui auraient pu être utilisées pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains. Le FBI a procédé à la suppression en envoyant une commande au serveur par le biais du shell web, conçue pour que le serveur ne supprime que le Web shell (identifié par son chemin d’accès unique) », explique le DoJ. Entre-temps, le FBI contacte les propriétaires des ordinateurs auxquels ils ont accédé pour les informer de la suppression du logiciel malveillant.
Cette décision a été prise après la divulgation par Microsoft d'une campagne à grande échelle exploitant les failles de sécurité des serveurs Microsoft Exchange connectés à Internet. Les vulnérabilités, qui ont été corrigées par une mise à jour hors bande, ont été exploitées pour accéder à des serveurs exécutant des versions sur site du logiciel et ont permis aux acteurs de la menace de voler des courriels, de télécharger des données et de compromettre les machines avec des portes dérobées pour un accès à long terme aux réseaux. En l'espace de quelques jours, les recherches d'ESET ont révélé que plusieurs groupes APT avaient ciblé les vulnérabilités, et l'on s'inquiète également de plus en plus de voir les acteurs de la menace déposer des rançongiciels, entre autres menaces, sur les systèmes vulnérables.
LECTURE COMPLÉMENTAIRE : Les serveurs Exchange assiégés par au moins 10 groupes APT
Le DoJ a salué l'opération du FBI comme un succès, mais a souligné qu'au-delà du code encoquillé, le FBI n'a pas recherché d'autres activités malveillantes ou outils de piratage sur les systèmes concernés, et n'a pas non plus appliqué les correctifs. L'application des correctifs et la détection ont été laissées aux administrateurs de réseau, qui ont été vivement invités à appliquer les conseils de Microsoft et l'avis conjoint publié par le FBI et la Cybersecurity and Infrastructure Security Agency (CISA).
Le procureur général adjoint John C. Demers a déclaré que l'opération « démontre l'engagement du ministère à perturber les activités de piratage en utilisant tous nos outils juridiques, et pas seulement les poursuites judiciaires. » Parallèlement, la directrice adjointe par intérim, Tonya Ugoretz, a lancé un avertissement sévère aux cybercriminels : « Notre action réussie devrait servir à rappeler aux cyberacteurs malveillants que nous imposerons des risques et des conséquences pour les cyberintrusions qui menacent la sécurité nationale et la sécurité publique du peuple américain et de nos partenaires internationaux. »