Le groupe Sandworm s’attaque aux serveurs de mail

Le groupe APT Sandworm a été repéré exploitant une vulnérabilité dans un logiciel de serveur de messagerie électronique, selon la National Security Agency (NSA).

La faille se trouve dans le logiciel Exim Mail Transfer Agent (MTA), une offre open source utilisée sur les systèmes Linux et Unix. Il reçoit, achemine et délivre essentiellement des e-mails aux utilisateurs locaux et aux hôtes distants. Exim est le MTA par défaut inclus sur certaines distributions Linux comme Debian et Red Hat, et les serveurs de messagerie qui utilisent Exim représentent environ 57% des serveurs de messagerie Internet, selon une enquête de l’année dernière.

sandworm

La faille de sécurité (CVE-2019-10149) permettrait à un attaquant distant non authentifié d’exécuter des commandes avec des privilèges root sur un serveur de messagerie Exim, permettant au pirate d’installer des programmes, de modifier des données et de créer de nouveaux comptes. Il a également des fonctionnalités de vers. Une campagne précédente diffusait automatiquement des crypto-mineurs d’un système à l’autre à l’aide d’un renifleur de port. La faille a été corrigé en Juin dernier.

La NSA partage ses trouvailles

La NSA a publié cette semaine un avis de sécurité informatique sur les nouvelles activités d’exploitation de l’unité 74455 du GRU Main Center for Special Technologies (GTsST), une division du service de renseignement militaire russe, alias Sandworm, alias BlackEnergy. L’APT a été liée à l’attaque d’Industroyer contre le réseau électrique ukrainien ainsi qu’aux infâmes attaques NotPetya. Selon Kaspersky, le groupe fait partie d’un réseau d’APT qui comprend également un groupe récemment découvert appelé Zebrocy.

La faille peut être exploitée à l’aide d’un e-mail spécial contenant un champ «MAIL FROM» modifié dans un message SMTP (Simple Mail Transfer Protocol). L’APT exploite les serveurs Exim non patchés de cette manière depuis au moins Août, selon l’avis de la NSA.

exim nsa

Une fois que Sandworm a compromis un serveur Exim ciblé, il télécharge et exécute ensuite un script shell à partir d’un domaine contrôlé par Sandworm pour établir une porte dérobée persistante qui peut être utilisée pour la reconnaissance, l’espionnage des messages électroniques, les mouvements latéraux et l’implantation de logiciels malveillants supplémentaires.

«Ce script tenterait d’effectuer les opérations suivantes sur la machine victime: ajouter des utilisateurs privilégiés; désactiver les paramètres de sécurité du réseau; mettre à jour les configurations SSH pour permettre un accès à distance supplémentaire; et exécuter un script supplémentaire pour permettre une exploitation ultérieure “, selon la NSA, qui n’a divulgué aucun détail sur les victimes des dernières offensives.

Les administrateurs Exim devraient mettre à jour leurs MTA vers la version 4.93 ou une version plus récente pour atténuer le problème, a noté la NSA.

Cela met en avant la nécessité d’un bon plan de gestion des vulnérabilités. La faille (CVE-2019-10149) est connue depuis presque un an et a un score CVSS supérieur à 9, ce qui en fait une vulnérabilité critique. Les vulnérabilités ayant un score élevé sur un serveur de messagerie présentent un risque élevé et il devrait être prévu de les corriger le plus tôt possible.

Sandworm, un groupe russe

C’est au début de l’année 2014 que Sandworm est apparu pour la première fois. L’attaque, qualifiée de « véritable acte de cyberguerre », avait ciblé le réseau électrique ukrainien. À l’époque, les gestionnaires de réseau en Ukraine avaient assisté impuissants à des « attaques de souris fantômes » sur leurs écrans pendant que Sandworm verrouillait les installations, coupait l’alimentation de secours de leurs salles de contrôle, et privait d’électricité un quart de million de civils ukrainiens.

Fin 2016, Sandworm a encore frappé la production d’électricité ukrainienne. Ce piratage était un exemple typique d’attaque menée par un État-nation contre un adversaire en plein milieu d’une guerre. S’il n’y avait pas eu d’erreur de configuration dans le logiciel malveillant de Sandworm, l’attaque aurait pu être beaucoup plus dévastatrice. Elle aurait pu griller des lignes ou faire sauter des transformateurs.

En Juin 2017, Sandworm a ciblé l’Occident dans le cadre d’une autre attaque d’envergure. Celle-ci impliquait le malware NotPetya, dont la propagation a causé des dégâts incalculables sur plusieurs continents, en Europe et aux États-Unis, mais surtout en Ukraine. NotPetya a mis hors d’état 300 entreprises ukrainiennes et 22 banques, quatre hôpitaux, de multiples aéroports, pratiquement toutes les agences gouvernementales. C’était une sorte d’attentat à la bombe sur l’Internet ukrainien, mais il s’est immédiatement répandu au reste du monde.

Puis, à l’automne et au début de l’hiver 2017, Sandworm a ciblé la Corée du Sud et un certain nombre d’organisations liées aux Jeux olympiques d’hiver organisés à PyeongChang. Le groupe russe a commencé à cibler les mobiles Android afin de répandre des malwares dans un certain nombre d’applications infectées.

Au printemps 2018, l’activité du groupe Sandworm a pris une autre orientation. Les chercheurs de Google ont constaté que les mêmes malwares avaient été utilisés pour cibler des entreprises localisées cette fois sur le sol russe, en particulier des sociétés immobilières, des institutions financières et l’industrie automobile.

Si cet article vous a plu, jetez un œil à notre article précédent.