En la eterna batalla del FBI contra los cibercriminales ha surgido la iniciativa de hackear tu ordenador para protegerte de hackers, ¿lo aceptarías? Puede sonar extraño, pero es la estrategia que la agencia estadounidense para proteger a los cientos de ordenadores afectados por el grupo organizado Hafnium, tras el que se cree que está el Gobierno chino. De este modo, el FBI ha utilizado las mismas herramientas que los hackers para proteger a los usuarios cuyos ordenadores han sido infectados.
Este ataque afectó a decenas de miles de clientes de Microsoft Exchange Server en todo el mundo y ha desatado una profunda preocupación en la Casa Blanca. El FBI recibió una autorización judicial para acceder a los ordenadores hackeados a través de las puertas traseras que Hafnium había dejado abiertas para volver a atacar en el futuro y de este modo pudo eliminar los webshells maliciosos.
Según aseguró el Departamento de Justicia de EE. UU., “el FBI dirigió la eliminación enviando un comando a través del web shell [el script malicioso] hacia el servidor, diseñado para provocar que el servidor elimine únicamente el web shell (identificado por su ruta de archivo única)”.
Varios medios como The Verge apuntan que esta decisión del FBI ha sido tomada sin el conocimiento de los propietarios de los servidores de Microsoft Exchange Servers afectados. El Departamento de Justicia aseguró que está intentando avisar a los propietarios de esta asistencia y que cuenta con la total aprobación de la corte de Texas.
Éste sería el primer caso del que se tiene constancia de una iniciativa unilateral de esta envergadura por parte del FBI en respuesta a un ciberataque. En 2016 la Corte Suprema de EE. UU. dio vía libre a los jueces del país para que pudieran emitir órdenes de registro e incautación fuera de sus respectivos distritos, lo que desató bastantes críticas por la posibilidad de que fuera un precedente peligroso para tener acceso a infinidad de ordenadores con un simple trámite.
No obstante, cabe destacar que en Francia ya se adoptaron medidas similares en 2019, cuando la Gendarmería neutralizó una red de bots de minería de criptomonedas que llegó a controlar casi un millón de ordenadores infectados en más de 100 países de todo el mundo. en ese caso, las autoridades galas también contaron con la ayuda del FBI.
Actualizaciones de seguridad
Tras hacerse pública esta noticia, Microsoft reaccionó ofreciendo actualizaciones de seguridad para su servicio Microsoft Exchange. Estas mejoras están dirigidas a las versiones de Exchange Server 2013, 2016 y 2019, y se recomienda a todos sus usuarios a instalarlas lo antes posible en sus ordenadores para evitar posibles problemas. Los clientes de Exchange Online están protegidos y no necesitarían instalar ninguna actualización, según informa la propia empresa.
Hafnium no es un grupo desconocido para la compañía fundada por Bill Gates y Paul Allen. En su blog especializado en ciberseguridad ya informan de que es un grupo de hackers cuyo objetivo son varias instituciones de EE. UU. que van desde el ámbito educativo hasta de defensa. En el pasado, Hafnium ya buscó explotar las vulnerabilidades de varios usuarios de Office 365 sin éxito. No obstante, la administración de Joe Biden también sospecha de que detrás de este ataque masivo a Exchange Server se encuentran otras organizaciones, y está estudiando con la Agencia de Seguridad de Infraestructura y Ciberseguridad como hacer frente a esta amenaza.
