NSA ამბობს რუსი ჰაკერები არიან ჰაკერების ძირითადი ელექტრონული სერვერები. ეროვნული უსაფრთხოების სააგენტომ გამოაქვეყნა უსაფრთხოების გაფრთხილება, სადაც ნათქვამია, რომ ეს ექსპლოიტი ბოლო ერთი წლის განმავლობაში მძვინვარებს.
ეროვნული უსაფრთხოების სააგენტომ განაცხადა, რომ ჰაკერები ერთეული 74455 საქართველოს GRU მთავარი ცენტრი სპეციალური დანიშნულების ტექნოლოგიებისთვის (GTsST), რუსეთის სამხედრო სადაზვერვო სამსახურის სამმართველო, გატეხავს მთავარ ელ.ფოსტის სერვერებს EXIM ფოსტის გადაცემის აგენტის გამოყენებით.
ჯგუფი ცნობილია როგორც ქვიშიანი ჭია, იყენებს დაუცველობას CVE-2019-10149, რომელიც მოიცავს EXIM სერვერებს, რომლებიც მსხვერპლის კომპიუტერს საშუალებას მისცემს Sandworm- ის კონტროლირებადი დომენიდან ჩამოტვირთოს და შეასრულოს shell სკრიპტი. Shell Script- ი ასე იქნებოდა პრივილეგირებული მომხმარებლების დამატება, გამორთეთ ქსელის უსაფრთხოების პარამეტრები, განაახლეთ SSH კონფიგურაციები, რომ ჩართოთ დამატებითი დისტანციური წვდომა
და ეxecute დამატებითი სკრიპტის შემდგომი ექსპლუატაციის საშუალებას.EXIM სერვერები, როგორც წესი, მუშაობენ UNIX– ზე დაფუძნებული ოპერაციული სისტემით და ბევრ კომპანიას და მთავრობას ფართოდ იყენებენ, რომ მისი ალტერნატივა, Microsoft– ის საკუთრების ბირჟა, ბევრი არ არის ცნობილი.
Sandworm ჯგუფი ბოლო ათწლეულის განმავლობაში იყო ცნობილი და ცნობილი ექსპლოიტეტებით BlackEnergy მავნე პროგრამამ, რომელმაც დააინფიცირა ბირთვული სერვერები უკრაინაში 2015 წლის დეკემბერში და 2016 წლის დეკემბერში. ჯგუფი ასევე მონაწილეობდა აშშ-ს 2016 წლის საპრეზიდენტო არჩევნებში, რომლებიც თავს დაესხნენ დემოკრატიული ეროვნული კომიტეტის ელ.ფოსტას და ამომრჩეველთა რეგისტრაციის მონაცემთა ბაზას.
CVE-2019-10149 დაუცველობა გაირკვა 2019 წლის ივნისში, როდესაც მრავალი მუქარის ავტორი ბოროტად იყენებდა მას საჯაროდ გამოქვეყნებისთანავე. მაიკროსოფტმა ასევე გაფრთხილება გასცა ამ დროისთვის ორი კვირის შემდეგ და გააფრთხილა Azure მომხმარებლები, რომ ჰქონდა საფრთხე მსახიობს შექმნა თვითგამანაწილებელი Exim ჭია, რომელმაც გამოიყენა ეს დაუცველობა Azure- ზე მომუშავე სერვერების ასაღებად ინფრასტრუქტურა
სერვერების თითქმის ნახევარი, რომლებიც მართავენ SMTP, რომლებიც ელექტრონული ფოსტის სერვერებია, დაუცველია ამ ექსპლოიტისთვის, სტატისტიკის თანახმად, ნახევარი ყველა Exim სერვერები განახლდა 4.93 ვერსიით ან უფრო გვიან, რის გამოც Exim ინსტანციების დიდი რაოდენობა დაუცველია შეტევები.