16/02/21
Агентство безопасности информационных систем Франции (Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI) раскрыло продолжавшуюся в течение трех лет вредоносную кампанию, в ходе которой киберпреступники взломали внутренние сети ряда французских организаций, использующих ПО для мониторинга Centreon.
Согласно новому отчету ANSSI, за атаками стоит известная APT-группа Sandworm, связываемая ИБ-экспертами с Россией. Жертвами вредоносной кампании преимущественно являются поставщики информационных технологий, в частности, провайдеры web-хостинга. Первая жертва была скомпрометирована в конце 2017 года, а в целом операция продолжалась до 2020 года.
В качестве точки входа злоумышленники использовали ПО для мониторинга IT-ресурсов Centreon производства одноименной французской компании. По своему функционалу платформа очень похожа на SolarWinds Orion. Как сообщается в отчете ANSSI, киберпреступники атаковали установки Centreon, подключенные к интернету. Однако на момент написания отчета специалисты затруднялись сообщить, проэксплуатировали ли злоумышленники уязвимость в Centreon, или подобрали пароли для учетных записей администратора.
Успешно проникнув в сеть атакуемой организации, хакеры устанавливали версию web-оболочки P.A.S. и бэкдор-троян Exaramel, предоставлявшие им полный контроль над скомпрометированной системой и прилегающей сети.
На счету у APT-группы Sandworm есть целый ряд громких взломов. По мнению ИБ-экспертов, Sandworm стоит за атаками на украинские электроэнергетические компании в 2015 и 2016 годах, массовым распространением вредоносного ПО NotPetya в 2017 году, попытками сорвать церемонию открытия Олимпиады в Пхенчхане в 2018 году и пр. Кроме того, делом рук Sandworm является утечка документов избирательного штаба Эмманюэля Макрона в 2017 году, известная как MacronLeaks.
ANSSI настоятельно рекомендовало французским и другим организациям, использующим платформу для мониторинга IT-ресурсов Centreon, проверить свои установки на наличие в них вредоносного ПО P.A.S. и Exaramel.
Несмотря на схожесть функционала Centreon и SolarWinds Orion, по мнению экспертов, в случае с Centreon хакеры воспользовались подключенными к интернету системами, а не осуществляли атаку на цепочку поставок.
