'L'Agenzia per la sicurezza nazionale degli Stati Uniti (NSA) ha pubblicato un avviso di sicurezza che avverte di una nuova ondata di attacchi informatici contro i server di posta elettronica, attacchi condotti da una delle unità di spionaggio informatico più avanzate della Russia.
La NSA dice che i membri dell'Unità 74455 del GRU Main Center for Special Technologies (GTsST), una divisione del servizio di intelligence militare russo, hanno attaccato i server di posta elettronica che eseguono l'agente di trasferimento della posta Exim (MTA).
Conosciuto anche come “Verme della sabbia,” questo gruppo ha hackerato i server Exim da agosto 2019 sfruttando una vulnerabilità critica rilevata come CVE-2019-10149.
Quando Sandworm ha sfruttato CVE-2019-10149, la macchina vittima avrebbe successivamente scaricato ed eseguito uno script di shell da un dominio controllato da Sandworm. Questo script di shell lo farebbe:
⚠️Aggiungi utenti privilegiati
⚠️ Disabilita le impostazioni di sicurezza della rete
⚠️Aggiorna le configurazioni SSH per abilitare l'accesso remoto aggiuntivo
⚠️Esegui uno script aggiuntivo per abilitare lo sfruttamento successivo
La NSA sta ora avvisando le organizzazioni private e governative di aggiornare i propri server Exim alla versione 4.93 e cerca segni di compromesso.
Il gruppo Sandworm è attivo dalla metà degli anni 2000 e si ritiene che sia il gruppo di hacker che ha sviluppato il malware BlackEnergy che ha causato un blackout in Ucraina a dicembre 2015 e dicembre 2016, e il gruppo che ha sviluppato il famigerato ransomware NotPetya che ha causato danni per miliardi di dollari USA ad aziende di tutto il mondo.
Attualmente è considerato uno dei due gruppi di hacking russi sponsorizzati dallo stato più avanzati, insieme a Turla.
