Un tribunal de Houston a autorisé une opération du FBI visant à «copier et supprimer» les portes dérobées de centaines de serveurs de messagerie Microsoft Exchange aux États-Unis, des mois après que des pirates ont utilisé quatre vulnérabilités jusqu’alors inconnues pour attaquer des milliers de réseaux.

Le ministère de la Justice a annoncé mardi l’opération, qu’il a qualifiée de «réussie».

En mars, Microsoft a découvert un nouveau groupe de piratage sponsorisé par l’État chinois – Hafnium – ciblant les serveurs Exchange gérés à partir de réseaux d’entreprise. Les quatre vulnérabilités, une fois enchaînées, ont permis aux pirates de s’introduire dans un serveur Exchange vulnérable et de voler son contenu. Microsoft a corrigé les vulnérabilités, mais les correctifs n’ont pas fermé les portes dérobées des serveurs qui avaient déjà été violés. En quelques jours, d’autres groupes de piratage ont commencé à frapper des serveurs vulnérables présentant les mêmes défauts pour déployer des ransomwares.

Le nombre de serveurs infectés abandonnés lors de l’application des correctifs. Mais des centaines de serveurs Exchange sont restés vulnérables car les portes dérobées sont difficiles à trouver et à éliminer, a déclaré le ministère de la Justice dans un communiqué.

« Cette opération a supprimé les coquilles Web restantes d’un des premiers groupes de piratage, qui auraient pu être utilisées pour maintenir et augmenter l’accès persistant et non autorisé aux réseaux américains », indique le communiqué. « Le FBI a procédé à la suppression en émettant une commande via le shell Web vers le serveur, qui a été conçue pour que le serveur ne supprime que le shell Web (identifié par son chemin de fichier unique). »

Le FBI a déclaré qu’il tentait d’informer les propriétaires par e-mail des serveurs dont il avait supprimé les portes dérobées.

Le procureur général adjoint John C. Demers a déclaré que l’opération «démontre l’engagement du Ministère à interrompre les activités de piratage en utilisant tous nos outils juridiques, et pas seulement les poursuites.»

Le ministère de la Justice a également déclaré que l’opération ne supprimait que les portes dérobées, mais n’avait pas corrigé les vulnérabilités exploitées par les pirates informatiques pour commencer ou supprimer les logiciels malveillants laissés pour compte.

Son…