Η NSA προειδοποιεί: μας την έπεσαν οι Ρώσοι!

Η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA) δημοσίευσε σήμερα μια προειδοποίηση για ένα νέο κύμα επιθέσεων στον κυβερνοχώρο κατά των διακομιστών ηλεκτρονικού ταχυδρομείου. Οι επιθέσεις πραγματοποιήθηκαν από μία από τις πιο προηγμένες μονάδες κατασκοπείας της ς.

Η NSA αναφέρει ότι μέλη της Unit 74455 του GRU Main Center for Special Technologies, ένα τμήμα της στρατιωτικής υπηρεσίας πληροφοριών της Ρωσίας, επιτέθηκαν σε διακομιστές email που τρέχουν με Exim mail transfer agent (MTA).

Η ομάδα που είναι επίσης γνωστή και σαν “Sandworm”, επιτίθεται σε Exim servers από τον Αύγουστο του 2019 εκμεταλλευόμενη μια (CVE-2019-10149), αναφέρει η NSA σε μια ειδοποίηση ασφαλείας [PDF] που κοινοποιήθηκε σήμερα.

“Όταν η Sandworm κάνει exploit στο CVE-2019-10149, το σύστημα του θύματος κατεβάζει και τρέχει ένα shell script από έναν ελεγχόμενο domain από την Sandworm”, αναφέρει η NSA.

Αυτό το shell script θα:

  • Προσθέσει προνομιούχους χρήστες
  • Απενεργοποιήσει τις ρυθμίσεις ασφαλείας δικτύου
  • Ενημερώσει τις ρυθμίσεις της SSH για να επιτρέπει απομακρυσμένη πρόσβαση
  • Τρέξει ένα επι script για να επιτρέψει περαιτέρω exploits

Η NSA προειδοποιεί τώρα ιδιωτικούς και κυβερνητικούς οργανισμούς να ενημερώσουν τους Exim servers στην έκδοση 4.93 και να αναζητήσουν σημάδια παραβίασης. Δείκτες παραβίασης υπάρχουν στο PDF που εξέδωσε η NSA.

Η ομάδα Sandworm δραστηριοποιείται από τα μέσα της δεκαετίας του και πιστεύεται ότι είναι η ομάδα hacker που ανέπτυξε το κακόβουλο λογισμικό BlackEnergy που προκάλεσε στην Ουκρανία τον Δεκέμβριο του 2015. Τον Δεκέμβριο του 2016 και η ομάδα ανέπτυξε το περίφημο ransomware NotPetya που προκάλεσε ζημιές δισεκατομμυρίων δολαρίων σε εταιρείες από όλο τον κόσμο.

Η ευπάθεια CVE-2019-10149 αποκαλύφθηκε τον Ιούνιο του 2019 και έχει σαν κωδική ονομασία το “ of the WIZard”.

Μέσα σε μια εβδομάδα μετά την αποκάλυψή της, διάφορες ομάδες hacking άρχισαν να την χρησιμοποιούν. Μετά από δύο εβδομάδες, η Microsoft είχε εκδώσει επίσης μια προειδοποίηση εκείνη την εποχή, προειδοποιώντας τους πελάτες της υπηρεσίας Azure.

Σχεδόν οι μισοί από τους email servers του Διαδικτύου τρέχουν με Exim. Σύμφωνα με τα στατιστικά από την 1η Μαΐου του 2020, μόνο οι μισοί από αυτούς τους Exim servers έχουν ενημερωθεί στην έκδοση 4.93 ή κάποια άλλη νεώτερη, αφήνοντας μεγάλο αριθμό συστημάτων ευάλωτο σε επιθέσεις.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).