Французские власти обвинили хак-группу Sandworm во взломе Centreon

Французское Национальное агентство безопасности информационных систем (ANSSI) заявило, что группа российских «правительственных» хакеров Sandworm (она же Telebots, BlackEnergy, Voodoo Bear) стоит за длившейся три года операцией, в результате которой был взломан ряд  французских организаций, использующих мониторинговое ПО Centreon.

Отчет агентства гласит, что в основном атака затронула различных ИТ-провайдеров (в особенности хостеров). При этом первая жертва была скомпрометирована еще в конце 2017 года.

Как уже было сказано выше, произошедшие взломы связывают с мониторинговой платформой Centreon, разработанной одноименной французской компанией. В сущности, этот продукт почти аналогичен по функциональности платформе Orion компании SolarWinds, о компрометации которой стало известно в декабре прошлого года. Среди клиентов Centreon числится немало известных организаций, включая Airbus, Air France KLM, Agence France-Presse (AFP), Euronews, Orange, Arcelor Mittal, Sephora и даже Министерство юстиции Франции.

Эксперты ANSSI пишут, что злоумышленники атаковали доступные через интернет системы Centreon, однако остается неясным, использовали хакеры какие-то уязвимость в Centreon или брутфорсили пароли для учетных записей администраторов. Известно лишь, что многие пострадавшие использовали последние версии Centreon, и случившееся не было атакой на цепочку поставок, как в случае с SolarWinds.

Если атака оказывалась успешной, злоумышленники заражали систему веб-шеллом PAS  и бэкдор-трояном Exaramel, что позволяло им полностью контролировать скомпрометированную систему и прилегающую к ней сеть.

Теперь ANSSI призывает все французские и международные организации проверить свои установки Centreon и системы на предмет компрометации и присутствие вредоносов PAS и Exaramel.

Sandworm

В конце 2020 года Ми­нис­терс­тво юсти­ции США предъ­яви­ло обви­нения шес­ти рос­сий­ским гражданам, которые якобы вхо­дят в груп­пиров­ку Sandworm.

Аме­рикан­ские влас­ти утверждают, что все обви­няемые слу­жат в под­разде­лении 74455 Глав­ного раз­ведыва­тель­ного управле­ния Рос­сии (Unit 74455) и по при­казу пра­витель­ства Рос­сии про­води­ли кибера­таки с целью дес­табили­зиро­вать дру­гие стра­ны, вме­шать­ся в их внут­реннюю полити­ку, при­чинить ущерб и денеж­ные потери.

Минюст США свя­зыва­ет груп­пиров­ку Sandworm с атаками на критическую инфраструктуру Украины, выборы во Франции, Олимпийские игры в Пхенчхане, разработкой шифровальщика NotPetya и другими инцидентами.

Источник: https://xakep.ru/2021/02/16/centreon-sandworm/

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *