„JAV Nacionalinio saugumo agentūra (NSA) paskelbė saugos įspėjimą apie naują kibernetinių atakų prieš el. pašto serverius bangą, atakų, kurias surengė vienas pažangiausių Rusijos kibernetinio šnipinėjimo padalinių.
NSA teigia, kad skyriaus nariai 74455 GRU Pagrindinio specialiųjų technologijų centro (GTsST), Rusijos karinės žvalgybos tarnybos padalinys, el. pašto serverius, kuriuose veikia „Exim“ pašto siuntimo agentas (MTA).
Taip pat žinomas kaip “Smėlio kirmėlė,” ši grupė įsilaužė į Exim serverius nuo rugpjūčio 2019 išnaudojant kritinį pažeidžiamumą, stebimą kaip CVE-2019-10149.
Kai „Sandworm“ išnaudojo CVE-2019-10149, nukentėjusioji mašina vėliau atsisiųs ir vykdys apvalkalo scenarijų iš Sandworm valdomo domeno. Šis apvalkalo scenarijus būtų:
⚠️Pridėkite privilegijuotus vartotojus
⚠️Išjungti tinklo saugos nustatymus
⚠️Atnaujinkite SSH konfigūracijas, kad įgalintumėte papildomą nuotolinę prieigą
⚠️Vykdykite papildomą scenarijų, kad įgalintumėte tolesnį išnaudojimą
NSA dabar įspėja privačias ir vyriausybines organizacijas atnaujinti savo Exim serverių versiją 4.93 ir ieškoti kompromiso ženklų.
„Sandworm“ grupė veikė nuo 2000-ųjų vidurio ir, kaip manoma, yra įsilaužėlių grupė, sukūrusi „BlackEnergy“ kenkėjišką programą, dėl kurios gruodį Ukrainoje nutrūko elektros energijos tiekimas. 2015 ir gruodžio mėn 2016, ir grupė, kuri sukūrė liūdnai pagarsėjusią „NotPetya“ išpirkos programą, kuri įmonėms visame pasaulyje padarė milijardus JAV dolerių žalos..
Šiuo metu ji laikoma viena iš dviejų pažangiausių Rusijos valstybės remiamų programišių grupių, kartu su Turla.
