SIKKERHET

NSA advarer om GRU-angrep mot e-postservere

Utnytter svært alvorlig sårbarhet.

Sandworm-kampanjen er knyttet til russiske GRU av blant annet NSA.
Sandworm-kampanjen er knyttet til russiske GRU av blant annet NSA. Illustrasjonsfoto: <a href="https://www.flickr.com/photos/xiquinho/14586551484">Flickr/xiquinhosilva (CC BY 2.0)</a>, ISight Partners. Montasje: Digi.no
Harald BrombachHarald BrombachNyhetsleder
29. mai 2020 - 11:36

Sikkerhetsaktører er ofte forsiktige med å påstå hvem som står bak IT-angrep, siden dette kan være vanskelig å fastslå fordi angriperne ofte utfører angrepene via en serie med uskyldige parter.

Derfor er det noe oppsiktsvekkende at NSA (National Security Agency) nå retter fingeren rett mot det russiske Hoveddirektoratet i Generalstaben (på russisk forkortet GU, men fortsatt mest kjent som GRU – altså den militære etterretningstjenesten) i forbindelse med en serie angrep mot virksomheter som benytter e-postserverprogramvaren Exim Internett Mailer. Angrepene skal ha pågått i alle fall siden august i fjor.

Ikke bare identifiserer NSA den russiske tjenesten, men tilsynelatende også det fysiske kontoret som benyttes. For det refereres til «GRU Main Center for Special Technologies (GTsST), field post number 74455», som ifølge NSA står bak en kampanje som offentlig kalles for «Sandworm» etter tidligere funn av flere referanser til science fiction-klassikeren Dune i både skadevare og tilhørende URL-er brukt av angripernes kommando- og kontrollservere.

Den nye Claude-appen til Windows og Mac er et faktum og dermed følger Anthropic etter Open AI.
Les også

Den største Chat GPT-konkurrenten har fått egen app til Mac og Windows

Har vært kjent i nesten et år

I angrepene utnyttes en kjent sårbarhet i Exim, som Digi.no omtalte allerede for nesten et år siden. Dessverre er det fortsatt mange som ikke jevnlig installerer sikkerhetsoppdateringer. Dette gjør det mulig for ondsinnede å utnytte sårbarhetene i lang tid.

Den aktuelle sårbarheten (CVE-2019-10149) gjør det mulig å oppnå full root-tilgang på det sårbare systemet bare ved å sende det en spesielt utformet e-postmelding. I praksis får angriperne da alle muligheter til å kontrollere serveren, inkludert å installere annen programvare, å overvåke og manipulere sending og mottak av e-post, og potensielt også å få tilgang til andre datamaskiner.

Kommandoene kan inkluderes i «MAIL FROM»-feltet i SMTP-meldinger.

Vis mer

I angrepene som utføres av Sandworm, blir det lastet ned et skript fra et domene som aktøren bak kontrollerer. Dette skriptet oppretter privilegerte brukere, skrur av innstillinger knyttet til nettverkssikkerhet, åpner SSH-tjenesten for mer tilgang og kjører flere andre skript som åpner for ytterligere utnyttelse.

Belgisk domene

Hostapp.be skal være et slikt domene. Domenet er i dag parkert hos GoDaddy, men er stadig registrert. DNS Belgium oppgir ikke uten videre hvem som har registrert domenet. Også IP-adressene 95.216.13.196 og 103.94.157.5 skal ha blitt brukt.

NSA kommer med flere råd til dem som har Exim-baserte e-posttjenester. Det viktigste rådet er selvfølgelig å installere sikkerhetsoppdateringene som tilbys via Linux-distribusjonen som Exim kjøres i, eventuelt å laste ned den nyeste versjonen og installere denne. Den aktuelle sårbarheten ble fjernet i versjon 4.93, men den kan i enkelte distribusjoner også ha blitt fjernet i versjoner med lavere versjonsnummer.

Mannen hadde fått et konsulentoppdrag som krevde laveste sikkerhetsklarering hos Telenor. Da klareringen tok uforholdsmessig lang tid, mistet mannen oppdraget og store inntekter, hevdet han i Oslo tingrett forrige uke.
Les også

IT-konsulent mistet hele inntekten i 2023: – De har skapt et A- og B-lag

Mange potensielt sårbare servere i Norge

Et søk med Shodan viser at rundt halvparten av de nesten 5 millioner Exim-serverne som er tilgjengelige via internett, benytter versjon 4.93 eller nyere. Resten benytter eldre og potensielt sårbare utgaver.

Det er drøyt 6100 internetteksponerte Exim-servere i Norge. Rundt 3500 av disse benytter en eldre versjon av programvaren enn versjon 4.93.

NSA anbefaler for øvrig også bruk av inntrengningsvern, slik som Snort, og at alle servere som er eksponert på internett, er plassert i en demilitarisert sone (DMZ), isolert fra mer følsomme, interne systemer.

Sikkerhetsrådgiver Gøran Tømte ønsker med kronikken å bidra til en forenkling av hvordan man kan få bedre cybersikkerhet.
Les også

Tre enkle metoder gjør mye for IT-sikkerheten

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra