NSA засече мащабна кибератака от Русия

Пощенски сървъри са атукавани от руски хакери, алармира NSA
(снимка: CC0 Public Domain)

За нова вълна от кибератаки срещу пощенски сървъри, идваща от Русия и по-конкретно от специализирани служби за кибершпионаж, алармира в официално изявление Националната агенция за сигурност на САЩ (NSA).

От агенцията твърдят, че членове на Звено 74445 към ГРУ (Главно разузнавателно управление) атакуват имейл сървъри, управлявани от популярния пощенски агент с отворен код Exim.

В информацията се посочва, че атаките датират още от средата на август месец миналата година. Те се възползват от критична уязвимост в Exim, регистрирана от Националният институт по стандарти и технологии (NIST) под номер CVE-2019-101149.

Уязвимостта дава възможност за изпълнение на команди от разстояние върху уязвимия сървър, поради неправилна валидация на имейл адрес на получателя. „Когато се изпълни успешно атаката CVE-2019-101149, сървърът на жертвата ще изтегли и изпълни shell скрипт от домейн, контролиран от Звено 74445”, поясняват от NSA.

Скриптът се изпълнява по следния начин:

• добавя потребител с високо ниво на системен достъп;
• блокира достъп до промяна на мрежови настройки на заразения Exim сървър;
• гарантира SSH отдалечен достъп на новия потребителски акаунт;
• изпълнява допълнителни команди и скриптове.

В обръщението си NSA настоява частните и правителствени организации да обърнат по-специално внимание върху проблема и да актуализират техните сървъри до версия 4.93, а също така да проверят системите си за наличие на следи от неоторизиран достъп.