NSA advierte sobre nuevos ataques de Sandworm en servidores de correo electrónico


Logotipo de la NSA

Imagen: Pankaj Patel, NSA, ZDNet

La Agencia de Seguridad Nacional de EE. UU. (NSA) ha publicado hoy una advertencia de alerta de seguridad sobre una nueva ola de ataques cibernéticos contra servidores de correo electrónico, ataques realizados por una de las unidades de ciberespionaje más avanzadas de Rusia.

La NSA dice que los miembros de la Unidad 74455 del Centro Principal de Tecnologías Especiales GRU (GTsST), una división del servicio de inteligencia militar ruso, han estado atacando servidores de correo electrónico que ejecutan el agente de transferencia de correo Exim (MTA).

También conocido como «Gusano de arena, «este grupo ha estado pirateando servidores Exim desde agosto de 2019 explotando una vulnerabilidad crítica rastreada como CVE-2019-10149», dijo la NSA en una alerta de seguridad (PDF) compartido hoy con ZDNet.

«Cuando Sandworm explotó CVE-2019-10149, la máquina víctima posteriormente descargaría y ejecutaría un script de shell desde un dominio controlado por Sandworm», dice la NSA.

Esta script de shell haría:

  • Agregar usuarios privilegiados
  • Deshabilitar la configuración de seguridad de purple
  • Actualice las configuraciones de SSH para permitir el acceso remoto adicional
  • Ejecute un script adicional para permitir la explotación de seguimiento

La NSA ahora advierte a las organizaciones privadas y gubernamentales que actualicen sus servidores Exim a la versión 4.93 y busquen signos de compromiso. Los indicadores de compromiso están disponibles en el PDF de la NSA, vinculado anteriormente.

Sandworm tuvo 9 meses para llevar a cabo ataques

El grupo Sandworm ha estado activo desde mediados de la década de 2000 y se cree que es el grupo de hackers que desarrolló el malware BlackEnergy que causó un apagón en Ucrania en diciembre de 2015 y diciembre de 2016, y el grupo que desarrolló el infame ransomware NotPetya que causó daños por miles de millones de dólares estadounidenses a empresas de todo el mundo. Actualmente se considera uno de los dos grupos de piratería más avanzados patrocinados por el estado ruso, junto con Turla.

La vulnerabilidad CVE-2019-10149 se reveló en junio de 2019 y recibió el nombre en clave «Return of the WIZard».

Una semana después de que se revelara, los grupos de piratas informáticos comenzaron a abusar de él. Después de dos semanas, Microsoft también emitió una alerta en ese momento, advirtiendo a los clientes de Azure que un actor de amenazas había desarrollado un gusano autoexpandible Exim que explotaba esta vulnerabilidad para hacerse cargo de los servidores que se ejecutan en la infraestructura de Azure.

Casi la mitad de los servidores de correo electrónico de Net funcionan con Exim. Según las estadísticas del 1 de mayo de 2020, solo la mitad de todos los servidores Exim se han actualizado a la versión 4.93 o posterior, dejando una gran cantidad de instancias Exim expuestas a ataques.

«Muchas organizaciones se fijan en lo nuevo y brillante, como la nube y los dispositivos móviles. Sin embargo, se olvidan de que los servicios realmente antiguos como SMTP tienen una gran parte de su vida personalized y comercial, y por definición esos servicios están expuestos a Web». Richard Bejtlich, Estratega principal de seguridad de la empresa de ciberseguridad Corelight, dicho ZDNet.

«Se convierten en objetivos perfectos para los adversarios cuando se enfrentan a Online, manejan los datos más confidenciales y las personas los tratan como dispositivos, lo que significa que a menudo se olvidan siempre que continúen trabajando y no sean monitoreados».

Nombrar y avergonzar continúa

Pero el aviso de seguridad de la NSA de hoy también tiene otros dos propósitos además de instar a los administradores de Exim a parchear sus servidores.

También está destinado a quemar mucha infraestructura ofensiva de Sandworm. Tras la alerta de hoy, es más probable que los operadores de Sandworm pierdan el acceso a muchos de los servidores que han estado pirateando durante los últimos nueve meses, ya que los administradores del servidor implementan parches y eliminan las puertas traseras de Sandworm.

En segundo lugar, el aviso llama la atención del mundo sobre las operaciones de ciberespionaje de Rusia, nuevamente. Muchas de estas operaciones rusas a menudo han cruzado una línea de lo que es aceptable en la reunión de ciberinteligencia moderna al causar estragos en el mundo genuine (es decir, NotPetya, BadRabbit, BlackEnergy, Georgia DDoS ataques, DNC hack, and so forth.).

Los Estados Unidos y otros países de 5 Eyes han hecho que nombrar y avergonzar a los ciberataques rusos sea una cuestión de política, al menos desde finales de 2018, y han continuado desde entonces, expandiendo la política a las operaciones chinas, iraníes y norcoreanas también.





Enlace a la noticia initial