‘The US National Security Agency (NSA) פרסמה אזהרת אבטחה מפני גל חדש של התקפות סייבר נגד שרתי דואר אלקטרוני, התקפות שבוצעו על ידי אחת מיחידות ריגול הסייבר המתקדמות ביותר ברוסיה.
The NSA says that members of Unit 74455 of the GRU Main Center for Special Technologies (GTsST), חטיבה של שירות הביון הצבאי הרוסי, תקפו שרתי אימייל המריצים את סוכן העברת הדואר Exim (MTA).
ידוע גם בשם “תולעת חול,” הקבוצה הזו פורצת לשרתי Exim מאז אוגוסט 2019 על ידי ניצול פגיעות קריטית שמעקבת היא CVE-2019-10149.
When Sandworm exploited CVE-2019-10149, מכונת הקורבן תוריד ותבצע סקריפט מעטפת מתחום הנשלט על תולעת חול. תסריט המעטפת הזה יעשה זאת:
⚠️Add privileged users
⚠️Disable network security settings
⚠️עדכן תצורות SSH כדי לאפשר גישה מרחוק נוספת
⚠️הפעל סקריפט נוסף כדי לאפשר ניצול המשך
ה-NSA מזהיר כעת ארגונים פרטיים וממשלתיים לעדכן את שרתי ה-Exim שלהם לגרסה 4.93 and look for signs of compromise.
קבוצת תולעי החול פעילה מאז אמצע שנות ה-2000 ומאמינים שהיא קבוצת ההאקרים שפיתחה את התוכנה הזדונית BlackEnergy שגרמה להפסקה באוקראינה בדצמבר 2015 ודצמבר 2016, והקבוצה שפיתחה את תוכנת הכופר הידועה לשמצה NotPetya שגרמה נזקים של מיליארדי דולרים לחברות בכל העולם.
היא נחשבת כיום לאחת משתי קבוצות הפריצה המתקדמות ביותר בחסות המדינה הרוסית, יחד עם טורלה.
