APT-группа Sandworm в течение трех лет атаковала организации через ПО Centreon

Вт 16 Февраль 2021 07:25

Агентство безопасности информационных систем Франции (Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI) раскрыло продолжавшуюся в течение трех лет вредоносную кампанию, в ходе которой киберпреступники взломали внутренние сети ряда французских организаций, использующих ПО для мониторинга Centreon.

Согласно новому отчету ANSSI, за атаками стоит известная APT-группа Sandworm, связываемая ИБ-экспертами с Россией. Жертвами вредоносной кампании преимущественно являются поставщики информационных технологий, в частности, провайдеры web-хостинга. Первая жертва была скомпрометирована в конце 2017 года, а в целом операция продолжалась до 2020 года.

В качестве точки входа злоумышленники использовали ПО для мониторинга IT-ресурсов Centreon производства одноименной французской компании. По своему функционалу платформа очень похожа на SolarWinds Orion. Как сообщается в отчете ANSSI, киберпреступники атаковали установки Centreon, подключенные к интернету. Однако на момент написания отчета специалисты затруднялись сообщить, проэксплуатировали ли злоумышленники уязвимость в Centreon, или подобрали пароли для учетных записей администратора.

Успешно проникнув в сеть атакуемой организации, хакеры устанавливали версию web-оболочки P.A.S. и бэкдор-троян Exaramel, предоставлявшие им полный контроль над скомпрометированной системой и прилегающей сети.

На счету у APT-группы Sandworm есть целый ряд громких взломов. По мнению ИБ-экспертов, Sandworm стоит за атаками на украинские электроэнергетические компании в 2015 и 2016 годах, массовым распространением вредоносного ПО NotPetya в 2017 году, попытками сорвать церемонию открытия Олимпиады в Пхенчхане в 2018 году и пр. Кроме того, делом рук Sandworm является утечка документов избирательного штаба Эмманюэля Макрона в 2017 году, известная как MacronLeaks.

ANSSI настоятельно рекомендовало французским и другим организациям, использующим платформу для мониторинга IT-ресурсов Centreon, проверить свои установки на наличие в них вредоносного ПО P.A.S. и Exaramel.

Несмотря на схожесть функционала Centreon и SolarWinds Orion, по мнению экспертов, в случае с Centreon хакеры воспользовались подключенными к интернету системами, а не осуществляли атаку на цепочку поставок.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 131 день 11 часов 15 минут 34 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.