FBI löscht Web Shells von kompromittierten Exchange-Servern – ohne Wissen der Eigentümer

Stefan Beiersmann,
Exchange Server (Bild: Microsoft)

Ein Gericht genehmigt die Maßnahmen. Das FBI kontaktiert die Betroffenen nun im Nachhinein. Das Justizministerium spricht von Hunderten Servern, auf denen eine Web Shell von Hackern läuft.

Das FBI hat in den USA Web Shells von Exchange-Servern entfernt, die über die Anfang März von Microsoft gepatchten Zero-Day-Lücken kompromittiert wurden. Die Bereinigung erfolgte jedoch ohne Wissen und Zustimmung der Betreiber der jeweiligen Server, aber mit Genehmigung der US-Justiz, wie das Department of Justice mitteilt.

“Viele Besitzer infizierter Systeme entfernten die Web-Shells erfolgreich von Tausenden von Computern. Andere schienen dazu nicht in der Lage zu sein, und Hunderte solcher Web-Shells blieben unverändert bestehen”, so das Justizministerium. “Das FBI führte die Entfernung durch, indem es über die Web-Shell einen Befehl an den Server gab, der den Server dazu veranlassen sollte, nur die Web-Shell (identifiziert durch ihren eindeutigen Dateipfad) zu löschen.”

Ende März zählte das Ministerium nach eigenen Angaben noch mehrere Hundert aktive Web Shells auf Exchange-Servern in den USA. Da jede Shell einen eigenen Namen und Dateipfad habe, hätten einige Server-Besitzer offenbar Probleme gehabt, die Shells zu finden und zu entfernen.

Zwar erfolgte die Löschung durch das FBI ohne das Wissen der Betreiber, diese sollen aber nun nachträglich über den Eingriff informiert werden. Zu diesem Zweck nutzt die US-Bundespolizei laut US-Justiz öffentlich verfügbare Kontaktdaten der Betroffenen. Sie erhielten nicht eine E-Mail von einem offiziellen FBI-E-Mail-Konto. Falls auf diese Art keine Kontaktaufnahme möglich sei, würden Betroffen über ihren Internet Service Provider benachrichtigt.

“Die heutige gerichtlich genehmigte Entfernung der bösartigen Web-Shells zeigt das Engagement des Ministeriums, Hacking-Aktivitäten mit allen unseren rechtlichen Mitteln zu unterbinden, nicht nur durch Strafverfolgung”, sagte der stellvertretende Generalstaatsanwalt für nationale Sicherheit John Demers. “Zusammen mit den bisherigen Bemühungen des privaten Sektors und anderer Regierungsbehörden, einschließlich der Veröffentlichung von Erkennungstools und Patches, zeigen wir gemeinsam die Stärke, die eine öffentlich-private Partnerschaft für die Cybersicherheit unseres Landes mit sich bringt.”

Entdeckt wurden die Zero-Day-Lücken in Exchange Server bereits im Januar 2021, anfänglich allerdings nur für zielgerichtete Angriffe. Nach der Veröffentlichung eines Notfall-Patches Anfang März durch Microsoft weiteten Hacker ihre Angriffsaktivitäten deutlich aus. Bereits wenige Tage später wurde die Zahl der Opfer allein in den USA auf mehr als 30.000 geschätzt. Am 24. März bestätigte Microsoft, dass inzwischen 92 Prozent der angreifbaren Server gepatcht oder anderweitig vor den Angriffen geschützt seien. Das Unternehmen wies aber auch darauf hin, dass die Installation der Patches eine möglicherweise bereits erfolgte Infektion mit Schadsoftware rückgängig mache.