FBI als Malware-Jäger: Geheimdienst sichert fremde Exchange-Server

Wie das US-Justizministerium jüngst mitteilte, gab es vor einigen Wochen eine höchst unübliche Aktion des als US-Bundespolizei und Inlandsgeheimdienst arbeitenden FBI (Federal Bureau of Investigation), bei der die Behörde selbst dafür sorgte, dass gehackte Exchange-Server nicht mehr für Angriffe von Gruppen wie "Hafnium" verwendet werden können.

Microsoft hatte zwar bereits Patches und andere Lösungen bereitgestellt, um die von "Hafnium" und anderen Angreifern ausgenutzten Lücken in Exchange-Servern zu beseitigen, doch gibt es noch immer viele Server, auf die die Angreifer mit Hilfe sogenannter "Web Shells" weiterhin Remote-Zugriff haben.

FBI veranlasst Löschung von Web Shells

Weil die Web Shells nach Meinung des FBI für manche Administratoren betroffener Server nur schwer zu erkennen und zu entfernen sein könnten, habe man sich zu dem höchst seltenen Schritt entschlossen. Dafür erlangte das FBI eine entsprechende gerichtliche Erlaubnis, die einerseits die Löschaktion autorisierte, andererseits aber auch dafür sorgte, dass es rechtlich zulässig war, die Admins der betroffenen Server erst später über die behördlichen Zugriffe zu informieren.

Das FBI identifizierte dann eine Reihe von Exchange-Servern in den USA, auf denen Hafnium-Shells installiert waren. Im Anschluss verschaffte man sich mit den auch von den Angreifern genutzten Zugangsdaten Zugriff und führte Kommandos aus, um die Löschung der Web Shells zu veranlassen.

Inzwischen hat das FBI begonnen, die Administratoren der betroffenen Server per Mail zu kontaktieren, um sie über die behördliche Löschaktion zu informieren. Dabei weist man sie aber auch darauf hin, dass keinerlei weitere Sicherheitslücken geschlossen oder weitere Malware entfernt wurde, die eventuell auf den jeweiligen Exchange-Servern vorhanden sein könnte. Es ist nach bisherigem Kenntnissstand das erste Mal, dass eine US-Bundesbehörde verdeckt auf privat betriebene Server zugreift, um ein Sicherheitsrisiko zu beseitigen.