Departamento de Justiça dos Estados Unidos obteve autorização judicial para acessar servidores de empresas sem aviso prévio. Departamento de Justiça explorou canais de acesso remoto de hackers para remover o próprio programa de invasão.
TheDigitalWay/Pixabay
O Departamento de Justiça dos Estados Unidos revelou que obteve uma autorização da Justiça para que o FBI – a Polícia Federal norte-americana – use os canais de acesso remoto criados por hackers para desinstalá-los e evitar o agravamento das invasões.
Na prática, os agentes entraram em centenas de computadores invadidos pelos hackers para orientar o software a se autodestruir.
As autoridades decidiram tomar essa medida depois que muitas empresas tiveram seus sistemas violados por meio de uma falha gravíssima no Exchange, um software da Microsoft usado em e-mails corporativos.
Embora o problema tenha sido corrigido em caráter emergencial, muitas organizações não aplicaram a atualização do Exchange de imediato, deixando os servidores vulneráveis por mais tempo e permitindo que muitos grupos de hackers se aproveitassem do problema.
Em alguns casos, a brecha pôde ser usada como "porta de entrada" para outros ataques na rede das empresas.
Para essa finalidade, os hackers deixavam programas de acesso remoto, conhecidos como "web shells".
O FBI decidiu obter uma autorização na Justiça para usar esses "shells" contra eles mesmos, enviando comandos que apagassem o software de invasão.
A Justiça determinou que a operação fosse realizada dentro um prazo de 30 dias e sem aviso prévio às empresas. Contudo, o FBI agora está tentando notificar as organizações envolvidas.
De acordo com o Departamento de Justiça, canais de acesso remoto foram removidos de "centenas" de computadores.
A remoção do software dos hackers não imuniza esses computadores contra novos ataques. Caso a empresa não tenha atualizado o Exchange ainda, o sistema poderá ser atacado novamente.
Ação do FBI foi motivada por ataques contra software da Microsoft usado por empresas.
Reuters/Brian Snyder
Entenda o que é um 'shell'
Em computação, o termo "shell" refere-se ao canal de interação entre o computador e um usuário.
Para os hackers, instalar um "shell" em um sistema é o mesmo que criar um canal de acesso remoto, garantindo a possibilidade de enviar novos comandos e manter o controle sobre o sistema atacado.
Muitas vezes, esses "shells" também possuem falhas de segurança, usam senhas fracas ou até ficam abertos. Qualquer pessoa que souber onde encontrar o shell poderá usá-lo para enviar comandos.
O FBI, depois de varrer a web encontrar vários "web shells" – interfaces de comando disponíveis pelo navegador web – obteve autorização na Justiça para enviar comandos que desinstalavam o próprio shell.
O órgão revelou que utilizaria as senhas das quais têm conhecimento para acessar os "shells" e realizar essa operação.
Antes de remover o programa, os agentes também tiveram autorização para copiar o shell, que deve ser usado para a investigação dos ataques.
Riscos do 'hacking do bem'
Não é a primeira vez que especialistas recorrem a comandos para forçar a desinstalação de programas maliciosos, mas a decisão da Justiça que permitiu manipular computadores das vítimas é possivelmente inédita.
A ética nesse tipo de ação, porém, ainda causa polêmica.
Não é incomum que os próprios hackers criem um comando de autodestruição no software para facilitar a remoção de qualquer vestígio do ataque no futuro.
Mas nem sempre é possível determinar se essa remoção pode causar outros problemas e se o software de comando funcionará como esperado – especialmente se os hackers tiverem se preparado contra esse tipo de medida.
Não seria impossível, por exemplo, que um "web shell" fosse programado para desobedecer comandos que levassem à sua própria remoção ou para entregar informações falsas a quem estivesse tentando copiá-lo de um sistema.
Um especialista nem sempre seria capaz de prever essas rotinas, o que poderia causar novos prejuízos ao sistema atacado.
Ainda assim, muitos dos programas de acesso remoto já tiveram todo o seu comportamento mapeado e testado por especialistas, o que garante certa confiança a esse tipo de operação.
Dúvidas sobre segurança digital? Envie um e-mail para
[email protected].
Veja dicas para manter seguro on-line:
