Sebuah kelompok peretas dari Rusia dikabarkan sedang mengeksploitasi kerentanan. Ini memungkinkan mereka mengendalikan komputer yang dioperasikan pemerintah Amerika Serikat (AS) dan mitranya. Peretas ini diduga merupakan kelompok yang terkait dengan serangan jaringan listrik di Ukraina.
Dalam laporan penasehat yang diterbitkan pada Kamis (28/5), Badan Keamanan Nasional AS mengatakan kelompok Sandworm secara aktif mengkeksploitasi kerentanan di Exim, agen transfer surat sumber terbuka, atau MTA, untuk sistem operasi berbasis Unix.
Dengan itu, penyerang dapat memasang program yang mereka pilih, memodifikasi data dan membuat akun baru. Patch CVE-2019-10149 telah tersedia sejak Juni lalu. Serangan telah aktif sejak setidaknya Agustus.
Penasihat mengatakan para peretas bekerja untuk unit tertentu, yang dikenal sebagai Pusat Utama untuk Teknologi Khusus. Unit tertentu ini berada di dalam GRU atau Direktorat Intelijen Utama Rusia.
Seperti yang dilansir dari Arstechnica, Jumat (29/5), ada kesepakatan umum di antara para peneliti keamanan bahwa kelompok peretas yang bekerja atas nama unit ini, bertanggung jawab atas beberapa serangan siber yang paling ambisius dan merusak dalam beberapa tahun terakhir.
Contohnya termasuk Hacks pada 2015 dan 2016 yang memicu pemadaman listrik di Ukraina. Ada pula NotPetya, cacing data yang menyebar di seluruh dunia dalam hitungan jam dan merugikan pemerintah serta bisnis puluhan miliar dolar berada dalam kerusakan. Serangan malware pada 2018 yang menutup bagian-bagian penting Olimpiade Musim Dingin.
Exim mail-server bug terungkap Juni lalu, pada saat yang sama ketika pengembang menerbitkan tambalan keamanan. Penasihat mengatakan serangan jarak jauh umumnya mengharuskan sistem yang rentan tidak lagi berjalan dengan pengaturan default.
Dalam satu kasus, serangan jarak jauh dimungkinkan terhadap sistem default, ketika seorang penyerang menjaga koneksi ke server yang rentan terbuka selama tujuh hari dengan mengirimkan satu byte setiap beberapa menit.
Penasihat tidak mengatakan berapa banyak server yang telah ditargetkan dengan sukses atau wilayah geografis atau industri tempat mereka berada. Meski begitu, NSA biasanya tidak mengeluarkan peringatan semacam ini kecuali ada alasan untuk khawatir.
Orang yang bertanggung jawab untuk server Exim harus memeriksa apakah mereka menjalankan versi 4.92 atau lebih tinggi. Karena sangat berhati-hati, administrator juga harus memeriksa log sistem untuk koneksi ke 95.216.13.196, 103.94.157.5, dan hostapp.be, yang semuanya terhubung dengan kampanye Sandworm yang sedang berlangsung.
