Operacja GRU w amerykańskich sieciach. NSA ostrzega przed rosyjskimi hakerami

29 maja 2020, 10:14
Kremlin_GRU
Fot. Kremlin.ru

Państwowi hakerzy działający na zlecenie Kremla odpowiadają za złośliwą kampanię wymierzoną w użytkowników oprogramowania przeznaczonego do wymiany korespondencji online. Amerykańska National Security Agency (NSA) wrogie działania przypisała rosyjskim służbom wywiadu oraz specjalistycznym komórkom wojskowym. 

Rosyjscy hakerzy wykorzystywali lukę w oprogramowaniu Exim Mail Transfer Agent od co najmniej sierpnia ubiegłego roku. Złośliwą operację prowadziło Głównego Centrum Technologii Specjalnych (GTsST) GRU, znane lepiej pod nazwą Sandworm – czytamy w oficjalnym komunikacie amerykańskiej NSA. Exim jest serwerem poczty elektronicznej dla systemów uniksowych.  

Występująca w Exim luka – CVE-2019-10149 – umożliwiała hakerom rozsyłanie specjalnie spreparowanych wiadomość e-mail w celu realizacji dalszych złośliwych operacji. Eksperci NSA podkreślają, że grupa Sandworm wykorzystując lukę mogła zdalnie wykonać następujące czynności na zaatakowanym urządzeniu: dodać nowych „uprzywilejowanych użytkowników”; wyłączyć ustawienia bezpieczeństwa sieci; zaktualizować konfiguracje SSH, aby umożliwić dodatkowy zdalny dostęp; czy ingerować w inne procesy w ramach urządzenia w celu prowadzenia bardziej zaawansowanych działań.

Mówiąc prościej, rosyjscy hakerzy mogli wysyłać specjalnie spreparowane wiadomości e-mail w celu wykonywania poleceń z uprawnieniami administratora, które pozwalały m.in. na instalowanie programów, modyfikowanie danych oraz tworzenie nowych kont.

„Hakerzy prowadzili działania za pomocą oprogramowania Exim (…) wysyłając do ofiar złośliwe wiadomości” – precyzuje NSA w oświadczeniu. Po wykryciu luki twórcy oprogramowania wydali komunikat, w którym wówczas stwierdzili, tu cytat – „Obecnie nie ma dowód na aktywne wykorzystanie tej podatności”. Jednak w obliczu możliwego zagrożenia wydano aktualizację dla Exim, która jest obecnie rekomendowana przez NSA dla wszystkich użytkowników ze względów bezpieczeństwa.

W ostatnim czasie również niemieckie służby bezpieczeństwa poinformowały o penetracji krajowych sieci i systemów przez rosyjskich hakerów powiązanych z FSB. Jak informowaliśmy wcześniej, głównym celem Moskwy byli operatorzy infrastruktury krytycznej. 

Niemieccy eksperci publicznie podkreślili, że na początku bieżącego roku odkryli dowody „długotrwałych kampanii hakerskich” wymierzonych w krajowe systemy o kluczowym znaczeniu dla bezpieczeństwa państwa. Głównym zadaniem rosyjskich hakerów było wykorzystanie publicznie dostępnego, ale także specjalnie opracowanego złośliwego oprogramowania, aby trwale „zakotwiczyć się” w sieci IT oraz ukraść informacje, a nawet uzyskać dostęp do konkretnych systemów niemieckich operatorów infrastruktury krytycznej. 

KomentarzeLiczba komentarzy: 1
Cyberiada
piątek, 29 maja 2020, 22:21

No tak ruska infrastruktura krytyczna juz zardzewiala Energetyczna sieć przesyłowa, stacje transformatorowe, naziemna sieć gazowa itd