La Agencia de Seguridad Nacional de Estados Unidos (NSA) afirmó que el mismo grupo de piratería militar ruso que interfirió en las elecciones presidenciales de 2016 y desató un devastador ataque de malware el año siguiente, ha estado explotando un importante programa de servidor de correo electrónico desde agosto pasado.
El momento del aviso de la agencia el jueves fue inusual, considerando que la vulnerabilidad crítica en el Exim Mail Transfer Agent, que se ejecuta principalmente en el sistemas operativos tipo Unix, se identificó hace 11 meses, cuando se emitió un parche.
Aunque Exim es ampliamente utilizado por algunas compañías y agencias gubernamentales –pero mucho menos popular que otras alternativas comerciales como Microsoft Exchange–, es posible que algunas no hayan reparado la vulnerabilidad, dijo Jake Williams, presidente de Rendition Infosec y un exhacker del gobierno de Estados Unidos.
A Williams le tomó cerca de un minuto de investigación en línea el jueves para encontrar un servidor gubernamental potencialmente vulnerable en el Reino Unido.
Él mismo especuló que la NSA podía haber emitido un aviso para publicar las direcciones IP y un nombre de dominio utilizado por el grupo militar ruso, conocido como Sandworm en su compaña de piratería, con la esperanza de forzar su uso por otros medios.
El exploit Exim permite que un atacante tenga acceso mediante correo electrónico especialmente diseñado e instale programas, modifique datos y cree nuevas cuentas, logrando un punto de apoyo en una red comprometida.
La NSA no dijo a quién se han dirigido los hackers militares rusos, pero altos funcionarios de inteligencia de Estados Unidos advirtieron en los últimos meses que los agentes del crimen están involucrados en actividades que podrían amenazar la integridad de las elecciones presidenciales de noviembre.
Un funcionario de la NSA dijo a The Associated Press que solo diría que la agencia está publicitando la vulnerabilidad porque, a pesar de una advertencia de los funcionarios británicos en octubre, se ha seguido explotando y necesita ser reparada.
La esperanza, al publicitar ahora el papel de Sandworm, es motivar aún más los parches, dijo el funcionario, quien habló bajo la condición de que no se le identifique más.
Agentes de Sandworm, vinculados al brazo de inteligencia militar GRU de Rusia, causaron estragos en las elecciones presidenciales de 2016 en Estados Unidos, robaron y expusieron correos electrónicos del Comité Nacional Demócrata e irrumpieron en bases de datos del registro de votantes.
También han sido culpados por el gobierno de Estados Unidos y el Reino Unido por el ciberataque NoPetya de junio de 2017, que se dirigió a las empresas que operan en Ucrania. Causó al menos 10 mil millones de dólares en daños a nivel mundial, especialmente a la multinacional naviera danesa Maersk.
