Во всем виноваты русские хакеры. Новое заявление АНБ

В мире есть две проблемы – это Путин и русские хакеры. И если что-то, где-то случается, все всегда знают, кого в этом винить. В этот раз АНБ связало хакерские атаки с российской разведкой.

На днях Агентство национальной безопасности США заявило, что хакерская группировка Sandworm активно использует уязвимость в Exim. Это самый распространенный в мире сервис электронной почты, работающий на базе операционных систем Unix.

Отслеживаемая как CVE-2019-10149, эта критическая ошибка позволяет пользователю, не прошедшему проверку подлинности, отправлять специально созданные сообщения электронной почты, которые выполняют команды с привилегиями root. При этом злоумышленник может выполнять произвольный код на сервере жертвы.

Патч CVE-2019-10149 доступен с июня прошлого года. Атаки продолжались, по крайней мере, с августа прошлого года. Вот что АНБ написали в своем соощении:

«Хакеры работали на конкретное подразделение, известное как Главный центр специальных технологий, который находится в ГРУ, или Главное разведывательное управление России. Среди исследователей безопасности существует общее мнение, что хакерская группа, работающая от имени этого подразделения, несет ответственность за некоторые громкие кибератаки, совершенные в последние годы.»

Sandworm приписывают взломы в 2015 и 2016 годах, вызвавшие перебои с подачей электроэнергии в Украине и создание червя NotPetya, который распространился по всему миру за считанные часы и принес правительствам и бизнесу ущерб в десятки миллиардов долларов

Журналист Энди Гринберг недавно опубликовал о хакерах из Sandworm книгу, в которой рассказывается о взломах и геополитической напряженности, которую они создают.

Уязвимость почтового сервера Exim обнаружилась в июне прошлого года, примерно в то же время, когда разработчики опубликовали исправление безопасности. В релизе заплатки говорится, что для удаленных атак обычно требуется, чтобы уязвимые системы больше не использовали настройки по умолчанию. В одном из случаев были возможны удаленные атаки на системы с настройками по умолчанию, когда злоумышленник оставлял соединение с уязвимым сервером, открытым в течение семи дней, передавая один байт каждые несколько минут.

В заявлении АНБ намекнули, что они редко поддаются необоснованной панике. А это значит, что причины для беспокойства все же есть, как и доказательства. Что ж, поживем увидим. Хорошо, что в переносе старта Crew Dragon виновата погода, а не российские хакеры.

Ну а пока, рекомендации те же: sudo apt update && sudo apt upgrade.