NSA opozarja, da skupina Sandworm skozi znano ranljivost napada poštne strežnike
Jurij Kristan
31. maj 2020 ob 15:44:43
Ameriška agencija NSA je izdala opozorilo, da razvpita ruska hekerska skupina Sandworm izvaja obširno kampanjo napadov na poštne strežnike, in sicer skozi še vedno zelo razširjeno ranljivost v programju za pošiljanje elektronske pošte Exim, ki je bila odkrita lansko poletje.
Lanskega junija je bila najdena kritična ranljivost v programu za pošiljanje elektronske pošte (mail transfer agent - MTA) Exim, ki je razširjen v sistemih z Unixom in Linuxom ter naj bi se nahajal v več kot polovici poštnih strežnikov po svetu. Napadalcu preko primerno sestavljenih sporočil omogoča polni (root) prevzem nad ciljnim poštnim strežnikom. Kljub temu, da je bil popravek na voljo takoj, hkrati pa so zlikovci še isti mesec pričeli dejansko zlorabljati odkrito slabost, raziskave kažejo, da je še letošnjega maja polovica lukenj ostala nezakrpanih.
To naj bi v zadnjem času pridoma izkoristili v zloglasni hekerski skupini Sandworm, povezani z rusko vojaško obveščevalno službo (GRU). Skupina je ena najbolj razvpitih in destruktivnih v obstoju, saj naj bi stala za napadi na ukrajinsko elektroomrežje, uničevalnim črvom NotPetya in drugimi virusi. Ameriška Nacionalna varnostna agencija NSA je tako izdala uradno opozorilo in napotek k takojšnji posodobitvi programske opreme, kar se ne zgodi pogosto. Kot pa je tudi značilno za tovrstne objave, niso natančneje predočili obsega hekerske kampanje ali navedli prizadetih akterjev, zato je v tem hipu še težko ocenjevati, za kako širokopotezno dejavnost v resnici gre.