Das FBI, der freundlicher Hacker aus ihrer Nachbarschaft

Die US-Bundespolizei FBI hat sich in den Vereinigten Staaten von Amerika als freundlicher Hacker betätigt und gefährliche Hintertüren von hunderten von Servern entfernt, auf denen kompromittierte Installationen von Microsoft Exchange liefen. Zuvor hatte ein Bezirksgericht aus Texas grünes Licht für die Eingriffe, welche oft ohne Kenntnis der Betreiber erfolgten, erteilt.

Im Januar und Februar hatten Hacker weltweit unzählige Exchange Server mit Hilfe von bis dato unbekannten Schwachstellen gekapert und Hintertüren installiert. Obwohl Microsoft frühzeitig gewarnt worden war, hatte das Unternehmen die Öffentlichkeit erst am 2. März 2021 informiert und dabei auch eine Reihe Sicherheits-Updates veröffentlicht. Es folgen Flicken für den seit Monaten nicht mehr unterstützten Exchange Server 2010 SP3 sowie für ältere Patch-Stände der noch gepfelgten Versionen. Nun könnte man annehmen, dass die kritischen Sicherheitslücken anderthalb Monate später abgedichtet und die auf den Servern eingerichteten Hintertüren beseitigt wurden, andererseits kann man ebenso gut an den Osterhasen glauben. Fakt ist: Auch Anfang April waren in den USA noch tausende Server kompromittiert und jederzeit über Dritte fernsteuerbar.

Das US-Justizministerium, welches China hinter den Angriffen vermutet, wertet die kompromittierten Server als Gefahr für die nationale Sicherheit und beauftragte die Cyber Division des FBI, eine Lösung zu erarbeiten und diese war auch schnell gefunden: Die FBI-Mitarbeiter nutzten die Web Shells, welche die Hacker als Hintertüren hinterlassen hatten, um den Befehl zum Löschen genau dieser Web Shells auszuführen. Und da es nicht möglich war, alle Server-Betreiber vorab zu informieren bzw. überhaupt ausfindig zu machen, wurde dieser Eingriff ohne weitere Rücksprache durchgeführt. Die Erlaubnis hierzu hatte sich das FBI vom Bezirksgericht für Südtexas eingeholt, sie umfasst ausschließlich das Kopieren und Entfernen der von Dritten eingerichteten Hintertüren.