وكالة الأمن القومي يقول قراصنة روس نكون قرصنة خوادم البريد الإلكتروني الرئيسية. نشرت وكالة الأمن القومي تحذيرًا أمنيًا قائلة إن هذا الاستغلال يتفشى منذ العام الماضي.
وكالة الأمن القومي: المتسللون الروس يخترقون خوادم البريد الإلكتروني الرئيسية
وقالت وكالة الأمن القومي إن قراصنة وحدة 74455 التابع مركز GRU الرئيسي لشركة Special Technologies (GTsST) ، وهي قسم من جهاز المخابرات العسكرية الروسية ، تقوم باختراق خوادم البريد الإلكتروني الرئيسية باستخدام وكيل نقل البريد EXIM.
المجموعة معروفة باسم دودة الرمل، تم استغلال الثغرة الأمنية CVE-2019-10149، والتي تتضمن خوادم EXIM التي من شأنها أن تتسبب في قيام كمبيوتر الضحية بتنزيل وتنفيذ برنامج نصي shell من مجال تسيطر عليه Sandworm. سيناريو شل سوف أضف المستخدمين المميزينو تعطيل إعدادات أمان الشبكةو قم بتحديث تكوينات SSH لتمكين الوصول الإضافي عن بعد، و E.قم بتنفيذ برنامج نصي إضافي لتمكين متابعة الاستغلال.
تعمل خوادم EXIM عادةً على نظام تشغيل قائم على UNIX وتستخدم على نطاق واسع من قبل العديد من الشركات والحكومات التي لا يعرف بديلها ، وهو تبادل مملوكة لشركة Microsoft.
كانت مجموعة Sandworm سيئة السمعة منذ العقد الماضي مع مآثر الشهيرة مثل بلاك إنرجي البرامج الضارة التي أصابت الخوادم النووية في أوكرانيا في ديسمبر 2015 وديسمبر 2016. وقد شاركت المجموعة أيضًا في الانتخابات الرئاسية الأمريكية لعام 2016 التي هاجمت رسائل البريد الإلكتروني الخاصة باللجنة الوطنية الديمقراطية واقتحام قواعد بيانات تسجيل الناخبين.
تم الكشف عن الثغرة الأمنية CVE-2019-10149 في يونيو 2019 مع قيام العديد من الجهات الخبيثة بإساءة استخدامها بمجرد الإعلان عنها. أصدرت Microsoft أيضًا تنبيهًا بعد أسبوعين في ذلك الوقت ، محذرة عملاء Azure من أن أحد الفاعلين قد أنشأ دودة Exim منتشرة ذاتيًا استغلت هذه الثغرة الأمنية للسيطرة على الخوادم التي تعمل على البنية التحتية Azure.
ما يقرب من نصف الخوادم التي تتعامل مع SMTP ، وهي خوادم بريد إلكتروني معرضة لهذا الاستغلال مع إحصائيات تظهر أن نصف جميع خوادم Exim قد تم تحديثها إلى الإصدار 4.93 ، أو أحدث ، مما يترك عددًا كبيرًا من مثيلات Exim معرضة للهجمات.
