Французское Национальное агентство безопасности информационных систем (ANSSI) заявило, что группа российских «правительственных» хакеров Sandworm (она же Telebots, BlackEnergy, Voodoo Bear) стоит за длившейся три года операцией, в результате которой был взломан ряд  французских организаций, использующих мониторинговое ПО Centreon.

Отчет агентства гласит, что в основном атака затронула различных ИТ-провайдеров (в особенности хостеров). При этом первая жертва была скомпрометирована еще в конце 2017 года.

Как уже было сказано выше, произошедшие взломы связывают с мониторинговой платформой Centreon, разработанной одноименной французской компанией. В сущности, этот продукт почти аналогичен по функциональности платформе Orion компании SolarWinds, о компрометации которой стало известно в декабре прошлого года. Среди клиентов Centreon числится немало известных организаций, включая Airbus, Air France KLM, Agence France-Presse (AFP), Euronews, Orange, Arcelor Mittal, Sephora и даже Министерство юстиции Франции.

Эксперты ANSSI пишут, что злоумышленники атаковали доступные через интернет системы Centreon, однако остается неясным, использовали хакеры какие-то уязвимость в Centreon или брутфорсили пароли для учетных записей администраторов. Известно лишь, что многие пострадавшие использовали последние версии Centreon, и случившееся не было атакой на цепочку поставок, как в случае с SolarWinds.

Если атака оказывалась успешной, злоумышленники заражали систему веб-шеллом PAS  и бэкдор-трояном Exaramel, что позволяло им полностью контролировать скомпрометированную систему и прилегающую к ней сеть.

Теперь ANSSI призывает все французские и международные организации проверить свои установки Centreon и системы на предмет компрометации и присутствие вредоносов PAS и Exaramel.

Sandworm

В конце 2020 года Ми­нис­терс­тво юсти­ции США предъ­яви­ло обви­нения шес­ти рос­сий­ским гражданам, которые якобы вхо­дят в груп­пиров­ку Sandworm.

Аме­рикан­ские влас­ти утверждают, что все обви­няемые слу­жат в под­разде­лении 74455 Глав­ного раз­ведыва­тель­ного управле­ния Рос­сии (Unit 74455) и по при­казу пра­витель­ства Рос­сии про­води­ли кибера­таки с целью дес­табили­зиро­вать дру­гие стра­ны, вме­шать­ся в их внут­реннюю полити­ку, при­чинить ущерб и денеж­ные потери.

Минюст США свя­зыва­ет груп­пиров­ку Sandworm с атаками на критическую инфраструктуру Украины, выборы во Франции, Олимпийские игры в Пхенчхане, разработкой шифровальщика NotPetya и другими инцидентами.

Оставить мнение