„Agenția de Securitate Națională a SUA (NSA) a publicat un avertisment de alertă de securitate cu privire la un nou val de atacuri cibernetice împotriva serverelor de e-mail, atacuri efectuate de una dintre cele mai avansate unități de spionaj cibernetic din Rusia.
NSA spune că membrii Unității 74455 al Centrului Principal pentru Tehnologii Speciale GRU (GTsST), o divizie a serviciului rus de informații militare, au atacat serverele de e-mail care rulează agentul de transfer de e-mail Exim (MTA).
Cunoscut și ca “Vierme de nisip,” acest grup a piratat serverele Exim din august 2019 prin exploatarea unei vulnerabilități critice urmărite ca CVE-2019-10149.
Când Sandworm a exploatat CVE-2019-10149, mașina victimă ar descărca și va executa ulterior un script shell dintr-un domeniu controlat de Sandworm. Acest script shell ar:
⚠️Adăugați utilizatori privilegiați
⚠️Dezactivați setările de securitate a rețelei
⚠️Actualizați configurațiile SSH pentru a permite accesul suplimentar de la distanță
⚠️Executați un script suplimentar pentru a activa exploatarea ulterioară
NSA avertizează acum organizațiile private și guvernamentale să își actualizeze serverele Exim la versiune 4.93 și caută semne de compromis.
Grupul Sandworm este activ de la mijlocul anilor 2000 și se crede că este grupul de hackeri care a dezvoltat programul malware BlackEnergy care a provocat o întrerupere de curent în Ucraina în decembrie. 2015 și decembrie 2016, și grupul care a dezvoltat infamul ransomware NotPetya care a cauzat daune de miliarde de dolari SUA companiilor din întreaga lume.
În prezent, este considerat unul dintre cele mai avansate două grupuri de hacking sponsorizate de stat rusești, împreună cu Turla.
