Americká Národná bezpečnostná agentúra (NSA) vydala vo štvrtok bezpečnostné odporúčanie, týkajúce sa neslávne známej ruskej skupiny Sandworm. Tá mala v posledných mesiacoch intenzívne zneužívať zraniteľnosť v softvéri Exim a napádať počítače pomocou e-mailov, informoval Cybersec.sk.
Zraniteľná je až štvrtina existujúcich e-mailových serverov. Exim je program na prenos elektronickej pošty medzi počítačmi a využívajú ho predovšetkým operačné systémy podobné UNIXu a taktiež niektoré linuxové distribúcie ako je Debian. Nebezpečenstvo spočíva v deravých serveroch, na ktoré môžu hackeri zaslať e-mail obsahujúci škodlivé príkazy a získať tak vzdialený prístup ku sieti. E-mailový server slúži ako vstupná brána ku kontrole celého zariadenia – útočníci následne dokážu do počítača inštalovať ďalšie programy, upravovať údaje, vytvárať nové používateľské účty či znefunkčniť sieťové bezpečnostné opatrenia.
Škodlivé príkazy sú obsiahnuté v samotnom protokole na prepravu pošty (SMPT). Na zraniteľnosť SMTP protokolov upozornil v rozhovore pre portál ZDnet aj Richard Bejtlich, hlavný bezpečnostný stratég kyberbezpečnostnej spoločnosti Corelight: „Sú perfektným cieľom pre protivníkov, pretože sú úzko spojené s internetom, narábajú s najcitlivejšími dátami a ľudia s nimi zaobchádzajú ako so zariadeniami, čo znamená, že pokiaľ fungujú, často na nich zabúdajú, a nie sú monitorované.“ Okrem spätnej kontroly pokusov o zneužitie alebo neoprávnené zmeny v bezpečnostnej architektúre sietí vyzvala NSA na bezodkladnú aktualizáciu nainštalovaného Eximu.
Zraniteľnosť, ktorá slúžila ruským hackerom, sa objavila v softvérových verziách 4.87 a 4.91, pričom vývojári vydali aktualizáciu na jej zabezpečenie už v júni minulého roku. V tom čase vraj nič nenasvedčovalo tomu, že by chybu niekto aktívne zneužíval. Podľa NSA hackeri napádajú nezaplátané servery od augusta 2019, a teda niekoľko týždňov po zverejnení výzvy k aktualizácii. Softvér Exim využíva viac než polovica e-mailových serverov na internete. Podľa štatistík zo začiatku mája 2020 bola na bezpečnú verziu 4.93 aktualizovaná iba polovica z nich. Útokom tak bolo vystavených asi štvrť milióna serverov.
NSA ukázala prstom na zodpovedného aktéra – ruskú APT skupinu Sandworm. Ide o operatívcov jednotky 74455 z hlavného strediska pre špeciálne technológie vojenskej rozviedky GRU. Skupina je mimo iné zodpovedná za znefunkčnenie elektrickej infraštruktúry na Ukrajine v roku 2015, celosvetovo rozšíreného červa NotPetya, sabotážne aktivity počas posledných prezidentských volieb v USA či útoky na štátne webstránky v Gruzínsku na jeseň minulého roka. „Stále ich považujeme za jedného z najviac, ak nie najviac agresívneho a nebezpečného aktéra, ktorého pozorujeme,“ vyjadril sa pre Wired John Hultquist, riaditeľ spravodajstva spoločnosti FireEye a jeden z objaviteľov skupiny Sandworm.
Zdroj: CS
