Η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA) δημοσίευσε σήμερα μια προειδοποίηση για ένα νέο κύμα επιθέσεων στον κυβερνοχώρο κατά των διακομιστών ηλεκτρονικού ταχυδρομείου. Οι επιθέσεις πραγματοποιήθηκαν από μία από τις πιο προηγμένες μονάδες κατασκοπείας της Ρωσίας.
Η NSA αναφέρει ότι μέλη της Unit 74455 του GRU Main Center for Special Technologies, ένα τμήμα της στρατιωτικής υπηρεσίας πληροφοριών της Ρωσίας, επιτέθηκαν σε διακομιστές email που τρέχουν με Exim mail transfer agent (MTA).
Η ομάδα που είναι επίσης γνωστή και σαν “Sandworm”, επιτίθεται σε Exim servers από τον Αύγουστο του 2019 εκμεταλλευόμενη μια κρίσιμη ευπάθεια (CVE-2019-10149), αναφέρει η NSA σε μια ειδοποίηση ασφαλείας [PDF] που κοινοποιήθηκε σήμερα.
“Όταν η Sandworm κάνει exploit στο CVE-2019-10149, το σύστημα του θύματος κατεβάζει και τρέχει ένα shell script από έναν ελεγχόμενο domain από την Sandworm”, αναφέρει η NSA.
Αυτό το shell script θα:
- Προσθέσει προνομιούχους χρήστες
- Απενεργοποιήσει τις ρυθμίσεις ασφαλείας δικτύου
- Ενημερώσει τις ρυθμίσεις της SSH για να επιτρέπει απομακρυσμένη πρόσβαση
- Τρέξει ένα επιπρόσθετο script για να επιτρέψει περαιτέρω exploits
Η NSA προειδοποιεί τώρα ιδιωτικούς και κυβερνητικούς οργανισμούς να ενημερώσουν τους Exim servers στην έκδοση 4.93 και να αναζητήσουν σημάδια παραβίασης. Δείκτες παραβίασης υπάρχουν στο PDF που εξέδωσε η NSA.
Η ομάδα Sandworm δραστηριοποιείται από τα μέσα της δεκαετίας του 2000 και πιστεύεται ότι είναι η ομάδα hacker που ανέπτυξε το κακόβουλο λογισμικό BlackEnergy που προκάλεσε blackout στην Ουκρανία τον Δεκέμβριο του 2015. Τον Δεκέμβριο του 2016 και η ομάδα ανέπτυξε το περίφημο ransomware NotPetya που προκάλεσε ζημιές δισεκατομμυρίων δολαρίων σε εταιρείες από όλο τον κόσμο.
Η ευπάθεια CVE-2019-10149 αποκαλύφθηκε τον Ιούνιο του 2019 και έχει σαν κωδική ονομασία το “Return of the WIZard”.
Μέσα σε μια εβδομάδα μετά την αποκάλυψή της, διάφορες ομάδες hacking άρχισαν να την χρησιμοποιούν. Μετά από δύο εβδομάδες, η Microsoft είχε εκδώσει επίσης μια προειδοποίηση εκείνη την εποχή, προειδοποιώντας τους πελάτες της υπηρεσίας Azure.
Σχεδόν οι μισοί από τους email servers του Διαδικτύου τρέχουν με Exim. Σύμφωνα με τα στατιστικά στοιχεία από την 1η Μαΐου του 2020, μόνο οι μισοί από αυτούς τους Exim servers έχουν ενημερωθεί στην έκδοση 4.93 ή κάποια άλλη νεώτερη, αφήνοντας μεγάλο αριθμό συστημάτων ευάλωτο σε επιθέσεις.