La France associe des hackers russes de vers de sable à des attaques de fournisseurs d'hébergement

  • Principal
  • Nouvelles
  • La France associe des hackers russes de vers de sable à des attaques de fournisseurs d'hébergement

La France associe des hackers russes de vers de sable à des attaques de fournisseurs d'hébergement

L'agence nationale française de cybersécurité a lié une série d'attaques qui ont conduit à la violation de plusieurs fournisseurs informatiques français sur quatre ans au groupe de pirates informatiques Sandworm soutenu par la Russie.

ANSSI (short for Agence Nationale de la Sécurité des Systèmes d'Information) was unable to determine how the servers were compromised.

Par conséquent, il n'est pas encore clair si les attaquants ont exploité une vulnérabilité dans le logiciel Centreon exposé ou si les victimes ont été compromises par une attaque de la chaîne d'approvisionnement.

'La première victime semble avoir été compromise depuis fin 2017. La campagne a duré jusqu'en 2020', a déclaré l'ANSSI dans un communiqué. relation publié aujourd'hui.

'Cette campagne a principalement touché les fournisseurs de technologies de l'information, en particulier les fournisseurs d'hébergement Web.'

Portes dérobées implémentées sur des serveurs compromis

L'ANSSI a constaté que les agresseurs avaient pris parti Exaramel c'est Shell Web PAS (Aussi connu comme Fobushell ) des portes dérobées en analysant les serveurs compromis sur les réseaux des organisations concernées.

Pour déployer les outils malveillants sur les serveurs exposés à Internet des victimes, les pirates ont ciblé le logiciel de surveillance informatique de Centreon.

La liste des clients de Centreon comprend plusieurs organisations de premier plan telles qu'Airbus, Air France KLM, l'Agence France-Presse (AFP), Euronews, Orange, Arcelor Mittal, Sephora et même le ministère français de la Justice.

Les attaquants ont utilisé des VPN publics et commerciaux et des services d'anonymisation lors de la connexion à des portes dérobées, notamment le réseau Tor, EXpressVPN, VPNBook et PrivateInternetAccess (PIA).

Selon l'Agence française de cybersécurité, la campagne présente plusieurs similitudes avec le comportement observé lors de l'analyse précédente. ver de sable attaques, y compris des campagnes d'intrusion avant de choisir l'une des victimes pour un engagement ultérieur.

L'ANSSI a également déclaré que l'infrastructure de commande et de contrôle utilisée par les acteurs de la menace pour contrôler les logiciels malveillants déployés sur les machines des victimes compromises était connue sous le nom de serveurs contrôlés par Sandworm.

Vecteur d'engagement pas encore connu

L'ANSSI n'a pas été en mesure de déterminer comment les serveurs ont été compromis, il est donc difficile de savoir si les attaquants ont exploité une vulnérabilité dans le logiciel Centreon exposé ou si les victimes ont été compromises par une attaque de la chaîne d'approvisionnement.

« Les serveurs compromis identifiés par l'ANSSI exécutaient le système d'exploitation CENTOS. Centreon a été récemment mis à jour', ANSSI Additionnel .

« La dernière version d'installation étudiée par l'ANSSI est la 2.5.2. Méthode de validation initiale inconnue . '

De plus, l'agence française de cybersécurité n'a pas été en mesure de trouver l'origine du binaire de la porte dérobée Exaramel.

ANSII fournit Indicateurs de compromis (IOC) et règles Yara pour les administrateurs qui souhaitent analyser leurs systèmes à la recherche de signes d'intrusion.

ver de sable (également connu sous le nom de BlackEnergy et TeleBots) est un groupe de cyberespionnage soutenu par la Russie qui est actif depuis le milieu des années 2000, et ses membres seraient des acteurs de la menace militaire qui font partie de l'unité Core Center for Special Technologies (GTsST) 74455 du GRU russe.

Ce groupe est lié au malware BlackEnergy à l'origine des pannes ukrainiennes de 2015 et 2016 [ 1 , deux , 3 ] et les attaques d'essuie-glace KillDisk visant les banques ukrainiennes.

Les pirates de Sandworm ont également créé le rançongiciel NotPetya, qui a infligé des milliards de dommages aux entreprises du monde entier en juin 2017.

En octobre 2020, le ministère américain de la Justice a accusé six agents de Sandworm d'opérations de piratage liées aux Jeux olympiques d'hiver de Pyeongchang, aux élections françaises de 2017 et à l'attaque du rançongiciel NotPetya.

Qu'est-ce que tu penses?