DOJ baut die Leitplanken für Malware-Takedowns vom Typ Microsoft Exchange

Cyber Security News

Der stellvertretende Generalstaatsanwalt für nationale Sicherheit, John Demers, spricht während einer virtuellen Pressekonferenz im Justizministerium am 28. Oktober 2020 in Washington, D.C. Demers sagte bei einer Veranstaltung an der George Washington University, dass Malware-Takedowns, wie sie bei Microsoft Exchange Servern eingesetzt werden, kein “Werkzeug der ersten Wahl” seien. (Foto: Sarah Silbiger/Getty Images)

Bei einem Treffen mit Reportern, das von der George Washington University veranstaltet wurde, sagte der stellvertretende Generalstaatsanwalt für nationale Sicherheit John Demers, dass das Justizministerium tatsächlich Richtlinien für Malware-Takedowns aufstellt und dass eine solche Aktion kein “Mittel der ersten Wahl” sein wird.

Demers’ Kommentare beziehen sich speziell auf die kürzlich getroffene Entscheidung, Web-Shells von “Hunderten” infizierter Microsoft Exchange-Server zu entfernen. Obwohl diese Maßnahmen weithin als angemessener Schritt befürwortet wurden, haben sie in der Cybersicherheits-Community Fragen darüber aufgeworfen, wann und wie oft das DoJ eingreifen würde.

“Jetzt, da wir diese Erfahrung gemacht haben, ist das die Art von Diskussion, die wir jetzt intern führen”, sagte er und betonte, dass es nicht “ein Werkzeug der ersten Wahl sein würde, das wir viele Male pro Woche verwenden werden, wenn verschiedene Eindringlinge auftauchen.”

Das DoJ gab am 13. April bekannt, dass es einen Gerichtsbeschluss erwirkt hat, um einen Befehl an eine Variante der Web-Shell zu senden, die von der Hafnium-Gruppe auf privaten, lokalen Exchange-Servern installiert wurde, um die Malware zu zwingen, sich selbst zu löschen. Das FBI und das DoJ bemühten sich zwar, die Besitzer zu benachrichtigen, dass die Malware entfernt wurde, führten die Entfernung jedoch ohne vorherige Zustimmung der Serverbesitzer durch.

Demers bezeichnete die Entscheidung als kritisch, da sowohl ausländische Spionage- als auch kriminelle Gruppen die Webshells nutzten, die trotz monatelanger Warnungen der Regierung und von Microsoft bestehen geblieben waren. Er beschrieb die Menge an Arbeit, die in den Versuch ging, einen solchen Schritt so sicher wie möglich zu machen.

“Dies erfordert die Zusammenarbeit mit dem privaten Sektor in der richtigen Lösung; es erfordert Tests, um sicher zu sein, dass Sie nicht anderweitig das Computersystem von jemandem stören werden”, sagte er. Bezugnehmend auf die dreimonatige Verzögerung zwischen der Bekanntgabe der Exchange-Schwachstellen und der Aktion des DoJ sagte Demers: “Es dauert eine Weile, bis man sich entschließt, so etwas zu tun, und es dauert eine Weile, bis man auf der technischen Seite sicher ist, dass man es richtig macht; dass man es sehr sorgfältig und mit Bedacht macht.”

Die Aktion des DoJ war eine der ersten ihrer Art und ihres Ausmaßes und nutzte die kürzlich erworbenen Befugnisse nach der richterlichen Verhaltensregel 41. Während es von Sicherheitsexperten gelobt wurde, gab es mehrere Fragen darüber, wie die Autorität verwendet werden würde, mit welchen Standards und Kriterien, in Zukunft, sowohl im Inland als auch im Ausland.

Eine ähnliche Aktion, die von Europol durchgeführt wurde, um die Botnet-Malware Emotet von den globalen Servern zu entfernen, funktionierte nach einem völlig anderen Drehbuch. Die Aktion von Europol wurde im Voraus angekündigt, während die des DoJ nicht angekündigt wurde. Die Aktion von Europol beinhaltete maßgeschneiderte Kodierung, die des DoJ hingegen nicht. Und Europol hat keinen der Eigentümer der betroffenen Systeme informiert.

Demers sagte, die Abteilung werde die Exchange-Operation auswerten, um zu versuchen, zukünftige Standards zu verallgemeinern, die über die Anforderung hinausgehen, einen Durchsuchungsbefehl zu erhalten.

“Ich sehe, dass wir in Zukunft einen formelleren Rahmen dafür entwickeln werden, wann wir diese Operationen einsetzen werden und welche Schwellenwerte erfüllt sein müssen”, sagte er. “Was jetzt passiert, ist eine Nachwirkung dessen, was wir getan haben.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com