Агентство национальной безопасности (АНБ) США опубликовало предупреждение, согласно которому русскоязычная хак-группа Sandworm (она же BlackEnergy) атакует серверы Exim. Напомню, что, по мнению экспертов, Sandworm активна примерно с середины 2000-х годов . Считается, что именно эта группировка разработала малварь BlackEnergy, вызвавшую отключение электроэнергии в Украине, а также группа может быть связана с печально известным шифровальщиком NotPetya. АНБ сообщает, что с августа 2019 года хакеры из Sandworm атакуют почтовые серверы, на которых работает агент передачи сообщений Exim. Для взлома злоумышленники используют критическую уязвимость­ CVE-2019-10149, обнаруженную еще прошлым летом и сразу взятую на вооружение многими злоумышленниками. Почти половина почтовых серверов работает под управлением Exim. Согласно статистике, по данным на 1 мая 2020 года, только половина всех Exim-серверов была обновлена до версии 4.93 или более поздней. То есть целей для атак по-прежнему предостаточно. После взлома на скомпрометированные серверы загружается и выполняется специальный shell-скрипт, который способен: добавить привилегированных пользователей; отключить настройки безопасности сети; обновить конфигурации SSH, чтобы дать хакерам дополнительный удаленный доступ; выполнить еще один скрипт для продолжения атаки. АНБ напоминает частным и правительственным организациям о необходимости обновления серверов Exim до версии 4.93, а также о том, что не лишним будет и поискать индикаторы компрометации, доступные в предупреждении агентства.