Российские военные хакеры из группировки Sandworm Team, которых обвиняют во вмешательстве в президентские выборы в США в 2016 году, как минимум с августа 2019 года используют уязвимость в агенте пересылки сообщений Exim, применяемом в операционных системах семейства Unix. Об этом говорится в обнародованном вечером в четверг, 28 мая, сообщении Агентства национальной безопасности (АНБ) США. АНБ связывает группировку Sandworm Team с российскими спецслужбами и Главным разведывательным управлением генштаба вооруженных сил РФ (ГРУ).
Exim широко используется в почте на компьютерах с Unix-подобными системами, в том числе Linux, которые часто устанавливаются на служебных станциях. В этом почтовом агенте летом 2019 года была выявлена уязвимость CVE-2019-10149. Она позволяет хакеру выполнять на зараженном компьютере некоторые команды.
Вредоносный эксплойт
"Российские агенты, работающие в Главном центре специальных технологий Главного разведывательного управления генерального штаба, использовали этот эксплойт для добавления привилегированных пользователей, отключения настроек безопасности сети, выполнения дополнительных команд для дальнейшего использования сети. Это позволяло злоумышленнику исполнять почти любое свое желание, по крайней мере, до тех пор, пока в системе стояла не обновленная версия Exim", - отметили в АНБ.
Власти США и американские эксперты обвиняют хакеров Sandworm Team в работе на российские спецслужбы и в причастности к ряду масштабных кибератак на правительственные ресурсы во всем мире. По данным портала Trackingterrorism, эта группировка проводила атаки как минимум с 2015 года, когда было совершено кибернападение на энергосистемы в Украине.
Кибератаки в Украине и Грузии
Sandworm Team связывали с атаками на киберинфраструктуру в Украине в 2016 году. Характерные признаки работы группы были отмечены и во время распространения "червя" NotPetya в 2017 году, который нарушил работу компьютеров по всему миру, в том числе и в России.
В октябре 2019 года Госдепартамент США выпустил официальное заявление, в котором обвинил хакеров Sandworm в кибератаке на Грузию, из-за которой была нарушена работа нескольких тысяч правительственных и частных сайтов и прервана трансляция как минимум двух телеканалов.