Η γαλλική υπηρεσία κυβερνοασφάλειας ανέφερε ότι μία ρωσική ομάδα στρατιωτικών χάκερς, που είναι γνωστή με την ονομασία Sandworm, ήταν πίσω από μια επιχείρηση τριών ετών, κατά τη διάρκεια της οποίας παραβίασε τα εσωτερικά δίκτυα πολυάριθμων γαλλικών οντοτήτων που χρησιμοποιούν το software παρακολούθησης Centreon IT. Οι επιθέσεις αναλύθηκαν λεπτομερώς σε μια τεχνική έκθεση που κυκλοφόρησε στις 15 Φεβρουαρίου το Agence Nationale de la Sécurité des Systèmes d’Information, γνωστό και ως ANSSI, που είναι ο κύριος οργανισμός κυβερνοασφάλειας της Γαλλίας.
Σύμφωνα με το ANSSI, οι επιθέσεις που πραγματοποίησε η ρωσική ομάδα στρατιωτικών χάκερς επηρέασαν κυρίως παρόχους IT και ιδίως παρόχους web hosting. Πρόσθεσε ακόμη πως το πρώτο θύμα της ομάδας φαίνεται να «χτυπήθηκε» στα τέλη του 2017, ενώ η εκστρατεία διήρκεσε μέχρι το 2020.
Το σημείο εισόδου σε δίκτυα θυμάτων συνδέθηκε με το Centreon, μια πλατφόρμα παρακολούθησης πόρων πληροφορικής που αναπτύχθηκε από τη γαλλική εταιρεία CENTREON και ένα προϊόν παρόμοιο σε λειτουργικότητα με την πλατφόρμα SolarWinds ‘Orion.
Το ANSSI ανέφερε ότι η ρωσική ομάδα στρατιωτικών χάκερς έχει στοχεύσει Centreon συστήματα που ήταν συνδεδεμένα στο Διαδίκτυο. Ωστόσο, ο οργανσιμός δεν είναι μέχρι στιγμής σε θέση να προσδιορίσει εάν οι επιθέσεις εκμεταλλεύτηκαν μια ευπάθεια στο Centreon software ή εάν οι επιτιθέμενοι «μάντεψαν» κωδικούς πρόσβασης από λογαριασμούς διαχειριστή.
Όπως αναφέρει το ZDNet, οι επιτιθέμενοι, σε περίπτωση επιτυχούς εισβολής, εγκαθιστούσαν μια έκδοση του P.A.S. web shell και το Exaramel backdoor trojan. Ο συνδυασμός των δύο αυτών στελεχών malware επέτρεψε στους χάκερς να αναλάβουν τον πλήρη έλεγχο ενός παραβιασμένου συστήματος και του παρακείμενου δικτύου του.
Όπως αναφέραμε προηγουμένως, το ANSSI συνέδεσε αυτές τις επιθέσεις με την APT ομάδα Sandworm.
Τον Οκτώβριο του 2020, το Υπουργείο Δικαιοσύνης (DoJ) των ΗΠΑ κατηγόρησε επίσημα έξι Ρώσους στρατιωτικούς αξιωματούχους για τη συμμετοχή τους σε κυβερνοεπιθέσεις που ενορχηστρώθηκαν από αυτήν την ομάδα, συνδέοντας επίσημα την Sandworm APT με το Unit 74455 της Ρωσικής Κεντρικής Διεύθυνσης Πληροφοριών (GRU), τμήμα στρατιωτικής υπηρεσίας πληροφοριών του ρωσικού στρατού.
Οι κυβερνοεπιθέσεις που διεξήχθησαν στο παρελθόν από αυτήν την ομάδα περιλάμβαναν τις διακοπές λειτουργίας του ενεργειακού δικτύου σε ολόκληρη την Ουκρανία το 2015 και το 2016, το «ξέσπασμα» του NotPetya ransomware το 2017, τις επιθέσεις στην τελετή έναρξης των Χειμερινών Ολυμπιακών Αγώνων της PyeongChang το 2018 και ένα μαζικό deface ιστότοπων της Γεωργίας το 2019.
Επίσης, το DoJ συνέδεσε αυτή την ομάδα με επιθέσεις εναντίον της Γαλλίας, συγκεκριμένα με εκστρατείες spear-phishing και σχετικές προσπάθειες χακαρίσματος και διαρροής με στόχο το πολιτικό κόμμα “La République En Marche” του Γάλλου Προέδρου Macron – μια επιχείρηση που αναφέρεται επίσης ως διαρροές Macron.
Λαμβάνοντας όλα τα παραπάνω υπόψη, το ANSSI συνιστά τόσο σε γαλλικούς όσο και διεθνείς οργανισμούς να επιθεωρήσουν τις εγκαταστάσεις του Centreon για την παρουσία των δύο στελεχών malware – P.A.S. και Exaramel – που αποτελούν ένδειξη ότι οι εταιρείες παραβιάστηκαν από επιθέσεις της Sandworm τα προηγούμενα χρόνια.
Τέλος, αξίζει να αναφερθεί ότι σε αντίθεση με την περίπτωση της SolarWinds, οι επιθέσεις που συνδέονται με Centreon συστήματα φαίνεται να αποτελούν μία ευκαιριακή εκμετάλλευση συστημάτων εκτεθειμένων στο Διαδίκτυο και όχι μία επίθεση αλυσίδας εφοδιασμού, όπως επεσήμαναν αρκετοί ειδικοί ασφαλείας στο Twitter.
