„Amerykańska Agencja Bezpieczeństwa Narodowego (NSA) opublikowało ostrzeżenie dotyczące nowej fali cyberataków na serwery poczty elektronicznej, ataki przeprowadzone przez jedną z najnowocześniejszych rosyjskich jednostek cyberszpiegowskich.
NSA twierdzi, że członkowie Unit 74455 Głównego Centrum Technologii Specjalnych GRU (GTsST), oddział rosyjskiego wywiadu wojskowego, atakowali serwery poczty elektronicznej, na których działa agent przesyłania poczty Exim (MTA).
Znany również jako “Robak piaskowy,” grupa ta hakuje serwery Exim od sierpnia 2019 wykorzystując krytyczną lukę w zabezpieczeniach oznaczoną jako CVE-2019-10149.
Kiedy Sandworm wykorzystał CVE-2019-10149, maszyna ofiary następnie pobierała i wykonywała skrypt powłoki z domeny kontrolowanej przez Sandworma. Ten skrypt powłoki by to zrobił:
⚠️Dodaj uprzywilejowanych użytkowników
⚠️Wyłącz ustawienia zabezpieczeń sieci
⚠️Zaktualizuj konfiguracje SSH, aby umożliwić dodatkowy dostęp zdalny
⚠️Wykonaj dodatkowy skrypt, aby umożliwić dalszą eksploatację
NSA ostrzega teraz organizacje prywatne i rządowe, aby zaktualizowały swoje serwery Exim do wersji 4.93 i szukaj oznak kompromisu.
Grupa Sandworm działa od połowy 2000 roku i uważa się, że jest to grupa hakerów, która opracowała złośliwe oprogramowanie BlackEnergy, które spowodowało awarię prądu na Ukrainie w grudniu 2015 i grudzień 2016, oraz grupa, która opracowała niesławne oprogramowanie ransomware NotPetya, które spowodowało szkody rzędu miliardów dolarów firmom na całym świecie.
Obecnie uważana jest za jedną z dwóch najbardziej zaawansowanych rosyjskich grup hakerskich sponsorowanych przez państwo, razem z Turlą.
