FBI enviou comando de 'autodestruição' a canais de acesso remoto deixados por hackers

FBI enviou comando de 'autodestruição' a canais de acesso remoto deixados por hackers
Departamento de Justiça dos Estados Unidos obteve autorização judicial para acessar servidores de empresas sem aviso prévio. Departamento de Justiça explorou canais de acesso remoto de hackers para remover o próprio programa de invasão.

TheDigitalWay/Pixabay

O Departamento de Justiça dos Estados Unidos revelou que obteve uma autorização da Justiça para que o FBI – a Polícia Federal norte-americana – use os canais de acesso remoto criados por hackers para desinstalá-los e evitar o agravamento das invasões.

Na prática, os agentes entraram em centenas de computadores invadidos pelos hackers para orientar o software a se autodestruir.

As autoridades decidiram tomar essa medida depois que muitas empresas tiveram seus sistemas violados por meio de uma falha gravíssima no Exchange, um software da Microsoft usado em e-mails corporativos.

Embora o problema tenha sido corrigido em caráter emergencial, muitas organizações não aplicaram a atualização do Exchange de imediato, deixando os servidores vulneráveis por mais tempo e permitindo que muitos grupos de hackers se aproveitassem do problema.

Em alguns casos, a brecha pôde ser usada como "porta de entrada" para outros ataques na rede das empresas.

Para essa finalidade, os hackers deixavam programas de acesso remoto, conhecidos como "web shells".

O FBI decidiu obter uma autorização na Justiça para usar esses "shells" contra eles mesmos, enviando comandos que apagassem o software de invasão.

A Justiça determinou que a operação fosse realizada dentro um prazo de 30 dias e sem aviso prévio às empresas. Contudo, o FBI agora está tentando notificar as organizações envolvidas.

De acordo com o Departamento de Justiça, canais de acesso remoto foram removidos de "centenas" de computadores.

A remoção do software dos hackers não imuniza esses computadores contra novos ataques. Caso a empresa não tenha atualizado o Exchange ainda, o sistema poderá ser atacado novamente.

Ação do FBI foi motivada por ataques contra software da Microsoft usado por empresas.

Reuters/Brian Snyder

Entenda o que é um 'shell'

Em computação, o termo "shell" refere-se ao canal de interação entre o computador e um usuário.

Para os hackers, instalar um "shell" em um sistema é o mesmo que criar um canal de acesso remoto, garantindo a possibilidade de enviar novos comandos e manter o controle sobre o sistema atacado.

Muitas vezes, esses "shells" também possuem falhas de segurança, usam senhas fracas ou até ficam abertos. Qualquer pessoa que souber onde encontrar o shell poderá usá-lo para enviar comandos.

O FBI, depois de varrer a web encontrar vários "web shells" – interfaces de comando disponíveis pelo navegador web – obteve autorização na Justiça para enviar comandos que desinstalavam o próprio shell.

O órgão revelou que utilizaria as senhas das quais têm conhecimento para acessar os "shells" e realizar essa operação.

Antes de remover o programa, os agentes também tiveram autorização para copiar o shell, que deve ser usado para a investigação dos ataques.

Riscos do 'hacking do bem'

Não é a primeira vez que especialistas recorrem a comandos para forçar a desinstalação de programas maliciosos, mas a decisão da Justiça que permitiu manipular computadores das vítimas é possivelmente inédita.

A ética nesse tipo de ação, porém, ainda causa polêmica.

Não é incomum que os próprios hackers criem um comando de autodestruição no software para facilitar a remoção de qualquer vestígio do ataque no futuro.

Mas nem sempre é possível determinar se essa remoção pode causar outros problemas e se o software de comando funcionará como esperado – especialmente se os hackers tiverem se preparado contra esse tipo de medida.

Não seria impossível, por exemplo, que um "web shell" fosse programado para desobedecer comandos que levassem à sua própria remoção ou para entregar informações falsas a quem estivesse tentando copiá-lo de um sistema.

Um especialista nem sempre seria capaz de prever essas rotinas, o que poderia causar novos prejuízos ao sistema atacado.

Ainda assim, muitos dos programas de acesso remoto já tiveram todo o seu comportamento mapeado e testado por especialistas, o que garante certa confiança a esse tipo de operação.

Dúvidas sobre segurança digital? Envie um e-mail para [email protected]

Veja dicas para manter seguro on-line: