올해 초, 중국 정부와 관련이 있고 하프늄으로 알려진 해커 그룹 Microsoft Exchange Server의 취약점을 악용 . 이 공격을 통해 주요 기업과 은행을 포함하여 60,000 개 이상의 서버에 액세스 할 수있었습니다.
이 공격은 작년에 회사 소프트웨어의 백도어 취약점을 통해 수천 명의 고객에게 영향을 미쳤던 SolarWinds 해킹과는 별개입니다. 이 경우 러시아 그룹은 SolarWinds의 소프트웨어에 편승 할 수 있었으며, 클라이언트 네트워크에 업데이트를 통해 설치하면 해커가 악성 코드를 배포 할 수있었습니다. 이 경우 Microsoft는 사이버 보안 회사 인 FireEye와 협력하여 추가 지침을받는 데 사용되는 도메인을 싱크 홀링하여 공격을 차단했습니다.
Exchange Server 공격은 온-프레미스 Exchange 서버에 영향을주는 알려진 보안 결함을 이용한다는 점에서 다릅니다. 제로 데이 공격으로 알려진 해커는 사용자와의 상호 작용 없이도 서버에 악성 코드가 설치되어 있다는 사실을 모르고도 취약점을 악용 할 수있었습니다. 위반이 너무나 널리 퍼져서 Biden 행정부는 '전반적인 정부 대응'을 요구했습니다.
마이크로 소프트는 1 월에 문제를 처음으로 통보 ,하지만 3 월까지 패치를 출시하지 않았습니다. 또한이 문제가 공개적으로 인정 된 것은 이번이 처음이었습니다. 그 동안 해커는 수천 개의 회사, 정부 기관 및 기타 조직의 민감한 정보에 액세스했습니다.
그 이후로 많은 사람들이 결함을 패치하고 웹 셸로 알려진 악성 코드를 제거 할 수있었습니다. 그러나 일부 사용자는 아직 공격을 완화하지 못했습니다. 패치를 설치 했더라도 정부는 수백 개의 조직이 감염된 서버에서 웹 셸을 제거하지 않았다고 말했습니다.
이로 인해 원래 해커뿐만 아니라 백도어가 공개되면 동일한 공격을 이용하는 다른 그룹에 취약 해졌습니다.
안에 성명서 , 법무부는 다음과 같이 말했습니다.
3 월 내내 Microsoft 및 기타 업계 파트너는 피해자가이 사이버 사고를 식별하고 완화하는 데 도움이되는 탐지 도구, 패치 및 기타 정보를 발표했습니다. 또한 FBI와 사이버 보안 및 인프라 보안 국은 3 월 10 일 Microsoft Exchange Server 손상에 대한 공동 자문을 발표했습니다. 이러한 노력에도 불구하고 3 월 말까지 Microsoft Exchange를 실행하는 특정 미국 기반 컴퓨터에 수백 개의 웹 셸이 남아 있습니다. 서버 소프트웨어.
이제 휴스턴의 연방 법원의 축복을 받아 FBI는 해커가 사용한 것과 동일한 도구 세트를 사용하고 있으며 악성 코드를 제거하기 위해 서버에 액세스하고 있습니다. 대부분의 경우 이는 서버 소유자가 알지 못하는 사이에 발생합니다.
나는 이것이 전례가 없다고 말하는 것이 공정하다고 생각합니다. 연방 정부는 일반적으로 컴퓨터 네트워크에서 콘텐츠를 해킹하고 제거하는 것이 허용되지 않습니다. 나는 그들이 한 일이 불법이라고 제안하는 것이 아닙니다. 그것은 명백히 그렇지 않았기 때문에 판사의 명령입니다. 하지만 연방 정부가 사이버 보안과 관련하여 특별한 능력을 가지고 있음을 보여줍니다.
어제 워싱턴 포스트 신고 FBI가 San Bernardino 범인의 iPhone을 어떻게 잠금 해제 할 수 있었는지 이 기관은 호주 회사 인 Azimuth를 사용하여 Apple과 연방 법 집행 기관 간의 거대한 전투의 중심에서 장치에 액세스하는 방법을 개발했습니다.
Exchange Server 사례에서 정부는 관련 회사에 대한 추가 손상 위험이 과감한 조치를 취해야한다고 생각했습니다. 텍사스 남부 지방의 제니퍼 B. 로리 미국 변호사 대행은``수백 대의 취약한 컴퓨터에서 악성 웹 셸을 복사하고 제거하기위한이 법원 승인 작업은 실행 가능한 리소스를 사용하여 사이버 범죄자와 싸우 겠다는 우리의 약속을 보여줍니다.
순 가치 힘 꽃
기본적으로 정부는 기업이 네트워크를 보호하고 사이버 위협을 제거하기위한 조치를 취하지 않을 경우 기꺼이 개입하여 자체 사이버 근육을 강화할 것이라고 제안하고 있습니다. 즉, 미래에 FBI를 사업에서 제외 시키려면 백도어를 닫아 두십시오.
