Bryce Durbin / TechCrunch

В марте Microsoft сообщила об атаке на серверы Exchange, за которой, предположительно, стояла новая хакерская группа Hafnium, спонсируемая Китаем. Используя объединённые в цепочку четыре уязвимости 0-day в программном обеспечении Microsoft Exchange Server, хакеры проникли на сервер и похитили его содержимое, оставив вредоносное ПО. Microsoft устранила уязвимости, но патчи не закрыли бэкдоры уже взломанных серверов. И спустя некоторое время уже другие хакерские группы начали атаковать серверы, используя те же методы и пытаясь запустить программы-вымогатели.

В заявлении Министерства юстиции США указано, что, хотя по мере внесения исправлений в ПО число заражённых серверов снизилось, многим владельцам не удалось удалить вредоносные веб-оболочки (скрипты), обеспечивающие хакерам удалённый доступ.

В результате проведенной ФБР операции было произведено удаление оставшихся веб-оболочек хакерской группы Hafnium, которые могли использоваться для поддержания и расширения постоянного несанкционированного доступа к сетям США.

«ФБР провело удаление, отправив серверу команду через веб-оболочку, которая была разработана для того, чтобы заставить сервер удалить только веб-оболочку (идентифицируемую по его уникальному пути к файлу)», — отмечено в сообщении Минюста США.