'L'Agenzia per la sicurezza nazionale degli Stati Uniti (NSA) ha pubblicato un avviso di sicurezza che avverte di una nuova ondata di attacchi informatici contro i server di posta elettronica, attacchi condotti da una delle unità di spionaggio informatico più avanzate della Russia.
La NSA dice che i membri dell'Unità 74455 del GRU Main Center for Special Technologies (GTsST), una divisione del servizio di intelligence militare russo, hanno attaccato i server di posta elettronica che eseguono l'agente di trasferimento della posta Exim (MTA).
Also known as “Sandworm,” this group has been hacking Exim servers since August 2019 sfruttando una vulnerabilità critica rilevata come CVE-2019-10149.
Quando Sandworm ha sfruttato CVE-2019-10149, la macchina vittima avrebbe successivamente scaricato ed eseguito uno script di shell da un dominio controllato da Sandworm. Questo script di shell lo farebbe:
⚠️Aggiungi utenti privilegiati
⚠️ Disabilita le impostazioni di sicurezza della rete
⚠️Aggiorna le configurazioni SSH per abilitare l'accesso remoto aggiuntivo
⚠️Esegui uno script aggiuntivo per abilitare lo sfruttamento successivo
La NSA sta ora avvisando le organizzazioni private e governative di aggiornare i propri server Exim alla versione 4.93 e cerca segni di compromesso.
Il gruppo Sandworm è attivo dalla metà degli anni 2000 e si ritiene che sia il gruppo di hacker che ha sviluppato il malware BlackEnergy che ha causato un blackout in Ucraina a dicembre 2015 e dicembre 2016, e il gruppo che ha sviluppato il famigerato ransomware NotPetya che ha causato danni per miliardi di dollari USA ad aziende di tutto il mondo.
Attualmente è considerato uno dei due gruppi di hacking russi sponsorizzati dallo stato più avanzati, insieme a Turla.
