„Agencija za nacionalno varnost ZDA (NSA) je objavil varnostno opozorilo, ki opozarja na nov val kibernetskih napadov na e-poštne strežnike, napade, ki jih izvaja ena najnaprednejših ruskih enot za kibernetsko vohunjenje.
NSA pravi, da člani enote 74455 glavnega centra za posebne tehnologije GRU (GTsST), oddelek ruske vojaške obveščevalne službe, napadajo e-poštne strežnike, na katerih se izvaja agent za prenos pošte Exim (MTA).
Znan tudi kot “Peščeni črv,” ta skupina vdira v strežnike Exim od avgusta 2019 z izkoriščanjem kritične ranljivosti, ki se spremlja kot CVE-2019-10149.
Ko je Sandworm izkoristil CVE-2019-10149, žrtev stroj bi nato prenesel in izvedel lupinski skript iz domene, ki jo nadzoruje Sandworm. Ta lupinski skript bi:
⚠️Dodajte privilegirane uporabnike
⚠️Onemogočite varnostne nastavitve omrežja
⚠️Posodobite konfiguracije SSH, da omogočite dodaten oddaljeni dostop
⚠️Izvedite dodatni skript, da omogočite nadaljnje izkoriščanje
NSA zdaj opozarja zasebne in vladne organizacije, naj posodobijo svoje strežnike Exim na različico 4.93 in poiščite znake kompromisa.
Skupina Sandworm je aktivna od sredine 2000-ih in naj bi bila hekerska skupina, ki je razvila zlonamerno programsko opremo BlackEnergy, ki je decembra povzročila izpad električne energije v Ukrajini 2015 in decembra 2016, in skupina, ki je razvila zloglasno izsiljevalsko programsko opremo NotPetya, ki je podjetjem po vsem svetu povzročila škodo v višini milijard ameriških dolarjev.
Trenutno velja za eno od dveh najnaprednejših ruskih hekerskih skupin, ki jih sponzorira država, skupaj s Turlo.
