„Az Egyesült Államok Nemzetbiztonsági Ügynöksége (NSA) közzétett egy biztonsági riasztást, amely figyelmeztet az e-mail szerverek elleni új kibertámadási hullámra, Oroszország egyik legfejlettebb kiberkém egysége által végrehajtott támadások.
Az NSA szerint az egység tagjai 74455 a GRU Speciális Technológiák Főközpontja (GTsST), az orosz katonai hírszerző szolgálat részlege, megtámadták az Exim levélátviteli ügynököt futtató e-mail szervereket (MTA).
Más néven “Homokféreg,” ez a csoport augusztus óta hackeli az Exim szervereket 2019 a CVE-2019-10149 jelű kritikus biztonsági rést kihasználva.
Amikor Sandworm kihasználta a CVE-2019-10149, az áldozat gép ezután letölt és végrehajt egy shell szkriptet egy Sandworm által vezérelt tartományból. Ez a shell szkript megtenné:
⚠️Kiváltságos felhasználók hozzáadása
⚠️A hálózati biztonsági beállítások letiltása
⚠️Frissítse az SSH-konfigurációkat a további távoli hozzáférés engedélyezéséhez
⚠️Futtasson le egy további szkriptet, hogy lehetővé tegye a további kiaknázást
Az NSA most figyelmezteti a magán- és kormányzati szervezeteket, hogy frissítsék az Exim-szervereiket a verzióra 4.93 és keresse a kompromisszum jeleit.
A Sandworm csoport a 2000-es évek közepe óta működik, és úgy tartják, hogy ő az a hackercsoport, amely kifejlesztette a BlackEnergy kártevőt, amely decemberben áramszünetet okozott Ukrajnában. 2015 és december 2016, és a csoport, amely kifejlesztette a hírhedt NotPetya ransomware-t, amely több milliárd dolláros kárt okozott vállalatoknak szerte a világon.
Jelenleg a két legfejlettebb orosz államilag támogatott hackercsoport egyikének tartják, Turlával együtt.
