Różności i nowinki technologia

Francja wiąże rosyjskiego Sandworma z wieloletnim hakerskim szaleństwem

Logo francuskiej krajowej agencji ds. Cyberbezpieczeństwa Agence Nationale de la securite des systemes d'information (ANSSI) zrobione w siedzibie ANSSI w Paryżu.
Powiększać / Logo francuskiej krajowej agencji ds. Cyberbezpieczeństwa Agence Nationale de la securite des systemes d’information (ANSSI) zrobione w siedzibie ANSSI w Paryżu.

Eric Piermont | AFP | Getty Images

Rosyjscy hakerzy wojskowi, znani jako Sandworm, odpowiedzialni za wszystko, od awarii zasilania na Ukrainie po NotPetya, najbardziej destrukcyjne złośliwe oprogramowanie w historii, nie mają reputacji dyskrecji. Jednak francuska agencja bezpieczeństwa ostrzega teraz, że hakerzy korzystający z narzędzi i technik, które łączy z Sandworm, potajemnie włamali się do celów w tym kraju, wykorzystując narzędzie do monitorowania IT o nazwie Centreon – i wydaje się, że udało im się to ukryć nawet przez trzy lata.

W poniedziałek francuska agencja bezpieczeństwa informacji ANSSI opublikowała ostrzeżenie, że hakerzy powiązani z Sandworm, grupą należącą do rosyjskiej agencji wywiadu wojskowego GRU, włamali się do kilku francuskich organizacji. Agencja opisuje te ofiary jako „głównie” firmy IT, a zwłaszcza firmy hostingowe. Co ciekawe, ANSSI twierdzi, że kampania włamań rozpoczęła się pod koniec 2017 roku i trwała do 2020 roku. Podczas tych włamań hakerzy prawdopodobnie włamali się na serwery z systemem Centreon, sprzedawane przez firmę o tej samej nazwie z siedzibą w Paryżu.

Chociaż ANSSI twierdzi, że nie było w stanie zidentyfikować, w jaki sposób te serwery zostały zhakowane, znalazło na nich dwa różne rodzaje złośliwego oprogramowania: jeden publicznie dostępny backdoor o nazwie PAS i drugi znany jako Exaramel, którego słowacka firma zajmująca się bezpieczeństwem cybernetycznym ESET wykryła wykorzystanie Sandworma w poprzednie wtargnięcia. Podczas gdy grupy hakerskie wykorzystują wzajemnie złośliwe oprogramowanie – czasami celowo wprowadzając w błąd śledczych – francuska agencja twierdzi również, że zaobserwowano nakładanie się na siebie serwerów dowodzenia i kontroli używanych w kampanii hakerskiej Centreon i poprzednich incydentach włamań do Sandworm.

Chociaż nie jest jasne, co hakerzy z Sandworm mogli mieć na myśli podczas wieloletniej francuskiej kampanii hakerskiej, każde włamanie do Sandworm budzi alarm wśród tych, którzy widzieli wyniki wcześniejszej pracy grupy. „Sandworm jest powiązany z destrukcyjnymi operacjami” – mówi Joe Slowik, badacz z firmy ochroniarskiej DomainTools, który od lat śledzi działania Sandworma, w tym atak na ukraińską sieć energetyczną, gdzie pojawił się wczesny wariant backdoora Sandworma Exaramel. „Mimo że nie ma żadnego znanego zakończenia związanego z tą kampanią, udokumentowanego przez władze francuskie, fakt, że ma ona miejsce, jest niepokojący, ponieważ końcowym celem większości operacji Sandworm jest wywołanie zauważalnego zakłócenia. Powinniśmy zwracać uwagę”.

ANSSI nie zidentyfikowała ofiar kampanii hakerskiej. Ale strona witryny Centreon zawiera listę klientów, w tym dostawców telekomunikacyjnych Orange i OptiComm, firmę konsultingową IT CGI, firmę obronną i lotniczą Thales, firmę hutniczą i wydobywczą ArcelorMittal, Airbus, Air France KLM, firmę logistyczną Kuehne + Nagel, firmę jądrową EDF oraz francuski Departament Sprawiedliwości.

Nie chcemy nikogo skrzywdzić

Jednak we wtorek w oświadczeniu wysłanym pocztą elektroniczną rzecznik Centreon napisał, że kampania hakerska nie miała wpływu na żadnych rzeczywistych klientów Centreon. Zamiast tego firma twierdzi, że ofiary korzystały z otwartej wersji oprogramowania Centreon, którego firma nie wspierała od ponad pięciu lat, i twierdzi, że zostały one wdrożone w sposób niezabezpieczony, w tym zezwalając na połączenia spoza sieci organizacji. W oświadczeniu odnotowano również, że ANSSI policzyło „tylko około 15” celów włamań. „Centreon obecnie kontaktuje się ze wszystkimi swoimi klientami i partnerami, aby pomóc im sprawdzić, czy ich instalacje są aktualne i zgodne z wytycznymi ANSSI dotyczącymi zdrowego systemu informacyjnego” – dodaje oświadczenie. „Firma Centreon zaleca, aby wszyscy użytkownicy, którzy nadal mają przestarzałą wersję oprogramowania typu open source w produkcji, zaktualizowali ją do najnowszej wersji lub skontaktowali się z firmą Centreon i jej siecią certyfikowanych partnerów”.

Niektórzy z branży cyberbezpieczeństwa natychmiast zinterpretowali raport ANSSI, sugerując kolejny atak na łańcuch dostaw oprogramowania, taki jak przeprowadzony na SolarWinds. W ramach szeroko zakrojonej kampanii hakerskiej ujawnionej pod koniec ubiegłego roku rosyjscy hakerzy zmienili aplikację monitorującą IT tej firmy i przedostali się ona do wciąż nieznanej liczby sieci obejmujących co najmniej pół tuzina amerykańskich agencji federalnych.

Jednak raport ANSSI nie wspomina o kompromisie w łańcuchu dostaw, a Centreon pisze w swoim oświadczeniu, że „nie jest to atak typu łańcucha dostaw i nie można w tym przypadku przeprowadzić żadnego paralelnego z innymi atakami tego typu”. W rzeczywistości Slowik z DomainTools twierdzi, że zamiast tego wydaje się, że włamania zostały dokonane po prostu przez wykorzystanie serwerów internetowych, na których działa oprogramowanie Centreon w sieciach ofiar. Wskazuje, że byłoby to zgodne z innym ostrzeżeniem o Sandworm, które NSA opublikowała w maju zeszłego roku: agencja wywiadowcza ostrzegła, że ​​Sandworm włamuje się do komputerów połączonych z Internetem, na których działa klient poczty elektronicznej Exim, który działa na serwerach Linux. Biorąc pod uwagę, że oprogramowanie Centreon działa na CentOS, który jest również oparty na systemie Linux, te dwa zalecenia wskazują na podobne zachowanie w tych samych ramach czasowych. „Obie te kampanie równolegle, przez pewien czas w tym samym okresie, były wykorzystywane do identyfikacji zewnętrznych, podatnych na ataki serwerów, na których działał Linux w celu uzyskania wstępnego dostępu lub przemieszczania się w sieciach ofiar” – mówi Słowik. (W przeciwieństwie do Sandworm, który został powszechnie zidentyfikowany jako część GRU, ataki SolarWinds nie zostały jeszcze ostatecznie powiązane z żadną konkretną agencją wywiadowczą, chociaż firmy bezpieczeństwa i amerykańska społeczność wywiadowcza przypisały kampanię hakerską rosyjskiemu rządowi .)

Chociaż Sandworm skupił wiele swoich najbardziej znanych cyberataków na Ukrainie – w tym robaka NotPetya, który rozprzestrzenił się z Ukrainy i spowodował szkody w wysokości 10 miliardów dolarów na całym świecie – GRU nie uchylało się od agresywnego hakowania francuskich celów w przeszłości. W 2016 roku hakerzy GRU podszywający się pod islamskich ekstremistów zniszczyli sieć francuskiej telewizji TV5, wyłączając jej 12 kanałów. W następnym roku hakerzy GRU, w tym Sandworm, przeprowadzili operację włamania i wycieku poczty e-mail, której celem było sabotowanie kampanii prezydenckiej francuskiego kandydata na prezydenta Emmanuela Macrona.

Chociaż wydaje się, że żadne takie zakłócające skutki nie wynikały z kampanii hakerskiej opisanej w raporcie ANSSI, włamania Centreon powinny służyć jako ostrzeżenie, mówi John Hultquist, wiceprezes wywiadu w firmie bezpieczeństwa FireEye, której zespół naukowców po raz pierwszy nazwał Sandworm w 2014 roku. Zauważa, że ​​FireEye nie przypisał jeszcze ingerencji Sandwormowi niezależnie od ANSSI – ale ostrzega też, że jest za wcześnie, aby powiedzieć, że kampania się skończyła. „Może to być zbieranie danych wywiadowczych, ale Sandworm ma długą historię działalności, którą musimy wziąć pod uwagę” – mówi Hultquist. „Za każdym razem, gdy znajdziemy Sandworm z wyraźnym dostępem przez długi czas, musimy przygotować się na uderzenie”.

Ta historia pojawiła się pierwotnie na wired.com.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook