«L’agence de sécurité nationale des États-Unis (NSA) a publié une alerte de sécurité avertissant d'une nouvelle vague de cyberattaques contre les serveurs de messagerie, attaques menées par l’une des unités de cyberespionnage les plus avancées de Russie.
La NSA dit que les membres de l'Unité 74455 du Centre Principal du GRU pour les Technologies Spéciales (GTsST), une division du service de renseignement militaire russe, ont attaqué les serveurs de messagerie exécutant l'agent de transfert de courrier Exim (MTA).
Aussi connu sous le nom “Ver des sables,” ce groupe pirate les serveurs Exim depuis août 2019 en exploitant une vulnérabilité critique identifiée comme CVE-2019-10149.
Quand Sandworm a exploité CVE-2019-10149, la machine victime téléchargeait et exécutait ensuite un script shell à partir d'un domaine contrôlé par Sandworm. Ce script shell serait:
⚠️Ajouter des utilisateurs privilégiés
⚠️Désactivez les paramètres de sécurité réseau
⚠️Mettez à jour les configurations SSH pour activer un accès à distance supplémentaire
⚠️Exécutez un script supplémentaire pour permettre une exploitation ultérieure
La NSA avertit désormais les organisations privées et gouvernementales de mettre à jour leurs serveurs Exim vers la version 4.93 et recherchez des signes de compromis.
Le groupe Sandworm est actif depuis le milieu des années 2000 et serait le groupe de hackers qui a développé le malware BlackEnergy qui a provoqué une panne d'électricité en Ukraine en décembre. 2015 et décembre 2016, et le groupe qui a développé le tristement célèbre ransomware NotPetya qui a causé des dommages de plusieurs milliards de dollars américains à des entreprises du monde entier..
Il est actuellement considéré comme l’un des deux groupes de piratage informatiques les plus avancés parrainés par l’État russe., avec Turla.
