"Yhdysvaltain kansallinen turvallisuusvirasto (NSA) on julkaissut tietoturvavaroituksen sähköpostipalvelimia vastaan kohdistuvista uusista kyberhyökkäyksistä, yhden Venäjän edistyneimmistä kybervakoiluyksiköistä tekemät hyökkäykset.
NSA sanoo, että yksikön jäsenet 74455 GRU:n erikoisteknologian pääkeskuksesta (GTsST), Venäjän armeijan tiedustelupalvelun osasto, ovat hyökänneet sähköpostipalvelimiin, jotka käyttävät Exim-postinsiirtoagenttia (MTA).
Tunnetaan myös nimellä “Hiekkamato,” tämä ryhmä on hakkeroinut Exim-palvelimia elokuusta lähtien 2019 hyödyntämällä kriittistä haavoittuvuutta, joka jäljitetään nimellä CVE-2019-10149.
Kun Sandworm käytti hyväkseen CVE-2019-10149:ää, uhrikone lataa ja suoritti sitten komentosarjan Sandworm-ohjatusta toimialueesta. Tämä shell-skripti olisi:
⚠️Lisää etuoikeutettuja käyttäjiä
⚠️Poista verkon suojausasetukset käytöstä
⚠️Päivitä SSH-määritykset mahdollistaaksesi lisäetäkäytön
⚠️Suorita ylimääräinen komentosarja mahdollistaaksesi jatkokäytön
NSA varoittaa nyt yksityisiä ja valtion organisaatioita päivittämään Exim-palvelimensa versioon 4.93 ja etsi kompromissin merkkejä.
Sandworm-ryhmä on ollut aktiivinen 2000-luvun puolivälistä lähtien ja sen uskotaan olevan hakkeriryhmä, joka kehitti BlackEnergy-haittaohjelman, joka aiheutti sähkökatkon Ukrainassa joulukuussa. 2015 ja joulukuussa 2016, ja ryhmä, joka kehitti pahamaineisen NotPetya-lunnasohjelman, joka aiheutti miljardeja Yhdysvaltain dollareita vahinkoja yrityksille kaikkialla maailmassa.
Sitä pidetään tällä hetkellä yhtenä kahdesta edistyneimmästä Venäjän valtion tukemasta hakkerointiryhmästä, yhdessä Turlan kanssa.
