U.S. Charges 6 Russian Intelligence Officers Over Destructive Cyberattacks

แจ้งข้อหา 6 สายลับ GRU ของรัสเซีย เชื่อคือกลุ่ม Sandworm ผู้อยู่เบื้องหลังการแพร่กระจาย NotPetya และการโจมตี OlympicDestroyer

กระทรวงยุติธรรมสหรัฐฯ ประกาศแจ้งข้อหาแก่ 6 สายลับ GRU ของรัสเซียซึ่งอยู่ในหน่วย Unitt 74455 หลังจากผลการวิเคราะห์และข้อมูลจากข่าวกรองระบุทั้ง 6 สายลับนี้คือสมาชิกของกลุ่ม APT "Sandworm" ผู้อยู่เบื้องหลังการโจมตีทางไซเบอร์แนวทำลายล้างหลายเหตุการณ์

กลุ่ม Sandworm มีผลงานซึ่งเป็นที่รู้จักหลายเหตุการณ์ โดยเหตุการณ์หนึ่งคือการแพร่กระจายของมัลแวร์ NotPetya ในเดือนมิถุนายน 2017 ซึ่งมีเป้าหมายโจมตีบริษัทในยูเครน อีกเหตุการณ์หนึ่งคือการโจมตีเป้าหมายในเกาหลีใต้โดยทำการปลอมแปลงพฤติกรรมเป็นเกาหลีเหนือซึ่งนำไปสู่การเป็นที่รู้จักของมัลแวร์ OlympicDestroyer

อ้างอิงจากเอกสารของกระทรวงยุติธรรมสหรัฐฯ สายลับทั้ง 6 นี้เป็นสายลับทั้ง 6 คนซึ่งมีความเชื่อมโยงอย่างชัดเจนมากที่สุดต่อกลุ่ม Sandworm อย่างไรก็ตามอาจเป็นไปได้ว่ากลุ่ม Sandworm ยังคงมีสมาชิกอยู่หลายคน การจับกุมอาจส่งผลเพียงแค่การ "ขัดขวาง" ปฏิบัตการ ไม่ใช่การหยุดปฏิบัติการทั้งหมด

ที่มา: zdnet
ภาพจาก: https://thehackernews.

NSA warns of new Sandworm attacks on email servers

NSA: เเจ้งเตือนภัยจากกลุ่ม APT "Sandworm" ที่ใช้ประโยชน์จากช่องโหว่ Exim ทำการโจมตี Email Server

สำนักงานความมั่นคงแห่งชาติสหรัฐ (NSA) ได้เปิดเผยถึงความเคลื่อนไหวของเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียหรือที่รู้จักกันในชื่อ Sandworm Team ซึ่งได้ใช้ประโยชน์จากช่องโหว่ใน Mail Transfer Agent (MTA) ตั้งแต่สิงหาคม 2019

NSA กล่าวว่า แฮกเกอร์จากหน่วย 74455 ของ GRU Main Center for Special Technologies (GTsST) ได้ใช้ประโยชน์จากช่องโหว่ Exim ตั้งเเต่เดือนสิงหาคม 2019 ซึ่งปัจจุบันพบว่าเซิร์ฟเวอร์ที่ยังสามารถใช้ประโยชน์จากช่องโหว่ Exim นั้นมีมาถึง 2,481,000 เซิร์ฟเวอร์ที่สามารถเข้าผ่านอินเตอร์เน็ตได้

Sandworm Team ใช้ประโยชน์ช่องโหว่ที่ติดตามเป็นรหัส CVE-2019-10149 ซึ่งทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรันโค้ดคำสั่งได้โดยใช้สิทธิ์ Root บนเซิร์ฟเวอร์อีเมลที่มีช่องโหว่ เมื่อทำการรันสคริปต์ Shell สคริปต์จะทำการเพิ่มสิทธิ์ผู้ใช้งาน, ปิดการตั้งค่าความปลอดภัยเครื่องข่าย, อัพเดตค่าคอนฟิก SSH เพื่อให้สามารถเข้าถึงจากระยะไกลและเรียกใช้งานสคริปต์อื่นๆที่จะสามารถใช้ประโยน์ภายในเครื่องที่บุกรุกได้

ข้อเเนะนำ
NSA ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูเลระบบที่จะทำการติดตั้งเซิร์ฟเวอร์ Exim ให้ทำการติดตั้งเวอร์ชัน 4.93 หรือใหม่กว่า สำหรับผู้ที่ใช้งานเซิร์ฟเวอร์ Exim Mail Transfer Agent อยู่แล้วให้ทำการอัปเดตซอฟต์แวร์ผ่าน Linux distribution package manager หรือดาวน์โหลดได้ที่
https://exim.