Agencja twierdzi, że malware atakujący serwery został opracowany przez jedną z najbardziej zaawansowanych rosyjskich jednostek szpiegowskich, noszących nieco przydługą nazwę Unit 74455 of the GRU Main Center for Special Technologies (w skrócie GTsST). Ma to być jeden z oddziałów rosyjskiego wywiadu wojskowego, który wyspecjalizował się w atakowaniu serwerów wykorzystujących oprogramowanie MTA (Mail Transfer Agent) znane pod nazwą Exim.

Wspomniana powyżej grupa hakerska (znana również pod nazwą Sandworm) atakuje serwery Exim od dość dawna, bo od połowy zeszłego roku. Badanie wykazało, że hakerzy wykorzystują znaną podatność CVE-2019-10149. NSA pisze a alercie bezpieczeństwa, że zaatakowany serwer pobiera malware (mający postać szkodliwego skryptu) z domeny kontrolowanej przez hakerów.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Wielka inwestycja Atmana w przetwarzanie danych

Malware wyłącza na serwerze ustawienia konfigurujące zabezpieczenia, po to aby następnie uruchomić bez wiedzy ani pozwolenia administratora wspomniany wcześniej szkodliwy skrypt.

Biorąc pod uwagę zagrożenie, jaki stwarza ten malware, NSA apeluję do administratorów systemów, w których funkcjonują serwery pocztowe wykorzystujące oprogramowanie Exim, aby jak najszybciej zaktualizowali je i zainstalowali wersję nie starszą niż 4.93, która jest odporna na tego typu ataki.