![A Unity „Web Sources Lens” webes keresését teszi lehetővé az Ubuntu asztalon](/f/8a09260afb1163493118bdac602800a0.png?width=100&height=100)
NSA mondja Orosz hackerek vannak A legfontosabb e-mail szerverek feltörése. A Nemzetbiztonsági Ügynökség közzétett egy biztonsági figyelmeztetést, miszerint ez a kizsákmányolás az elmúlt év során elburjánzott.
A Nemzetbiztonsági Ügynökség szerint a 74455-ös egység a GRU Főközpont A Special Technologies (GTsST), az orosz katonai hírszerző szolgálat részlege az EXIM Mail Transfer Agent segítségével feltörte a főbb e-mail szervereket.
A Csoport néven ismert Homokféreg, kihasználta a sebezhetőséget CVE-2019-10149, amely EXIM szervereket tartalmaz, amelyek miatt az áldozat számítógépe letöltheti és futtathat egy shell parancsfájlt egy Sandworm által vezérelt tartományról. A Shell Script megtenné Kiváltságos felhasználók hozzáadása, Tiltsa le a hálózati biztonsági beállításokat, Frissítse az SSH-konfigurációkat a további távoli hozzáférés engedélyezéséhezés Execute egy további szkriptet a további hasznosítás engedélyezéséhez.
Az EXIM szerverek általában UNIX alapú operációs rendszert futtatnak, és sok vállalat és kormány által széles körben használják, hogy annak alternatívája, a Microsoft tulajdonában lévő Exchange nemigen ismert.
A Sandworm csoport az elmúlt évtized óta hírhedt, híres kiaknázásokkal, mint a BlackEnergy Malware, amely megfertőzte az ukrajnai Nuclear szervereket 2015 decemberében és 2016 decemberében. A csoport részt vett az 2016-os amerikai elnökválasztásokon is, amelyek megtámadták a Demokratikus Nemzeti Bizottság e-mailjeit és betörtek a választói regisztráció adatbázisaiba.
A CVE-2019-10149 biztonsági rést 2019 júniusában hozták nyilvánosságra, és sok rosszindulatú szereplő visszaélett vele, amint nyilvánosságra került. A Microsoft ekkor két hét múlva riasztást is kiadott, figyelmeztetve az Azure ügyfeleit, hogy fenyegetési szereplővel rendelkeznek létrehozott egy önterjedő Exim féreg, amely kihasználta ezt a biztonsági rést az Azure-on futó szerverek átvétele érdekében infrastruktúra.
Az SMTP-t kezelő kiszolgálók, amelyek e-mail szerverek, majdnem fele kiszolgáltatott ennek a kihasználásnak, és a statisztika a felét mutatja az összes Exim-kiszolgálót frissítették a 4.93-as vagy újabb verzióra, így nagyszámú Exim-példány van kitéve támadások.