Французские власти обвинили хак-группу Sandworm во взломе Centreon

  • Автор темы Admin

Admin

#1
Администратор
Регистрация
31.12.2019
Сообщения
6,888
Реакции
25
Французское ********************ональное агентство безопасности информационных систем (ANSSI) заявило, что группа российских «правительственных» хакеров Sandworm (она же Telebots, BlackEnergy, Voodoo Bear) стоит за длившейся три года операцией, в результате которой был взломан ряд французских организаций, использующих мониторинговое ПО Centreon.

Отчет агентства гласит, что в основном атака затронула различных ИТ-провайдеров (в особенности хостеров). При этом первая жертва была скомпрометирована еще в конце 2017 года.

Как уже было сказано выше, произошедшие взломы связывают с мониторинговой платформой Centreon, разработанной одноименной французской компанией. В сущности, этот продукт почти аналогичен по функциональности платформе Orion компании SolarWinds, о компрометации которой стало известно в декабре прошлого года. Среди клиентов Centreon числится немало известных организаций, включая Airbus, Air France KLM, Agence France-Presse (AFP), Euronews, Orange, Arcelor Mittal, Sephora и даже Министерство юстиции Франции.

Эксперты ANSSI пишут, что злоумышленники атаковали доступные через интернет системы Centreon, однако остается неясным, использовали хакеры какие-то уязвимость в Centreon или брутфорсили пароли для учетных записей администраторов. Известно лишь, что многие пострадавшие использовали последние версии Centreon, и случившееся не было атакой на цепочку поставок, как в случае с SolarWinds.

Если атака оказывалась успешной, злоумышленники заражали систему веб-шеллом PAS и бэкдор-трояном Exaramel, что позволяло им полностью контролировать скомпрометированную систему и прилегающую к ней сеть.

Теперь ANSSI призывает все французские и международные организации проверить свои установки Centreon и системы на предмет компрометации и присутствие вредоносов PAS и Exaramel.

Sandworm

В конце 2020 года Ми*нис*терс*тво юсти*ции США предъ*яви*ло обви*нения шес*ти рос*сий*ским гражданам, которые якобы вхо*дят в груп*пиров*ку Sandworm.

Аме*рикан*ские влас*ти утверждают, что все обви*няемые слу*жат в под*разде*лении 74455 Глав*ного раз*ведыва*тель*ного управле*ния Рос*сии (Unit 74455) и по при*казу пра*витель*ства Рос*сии про*води*ли кибера*таки с целью дес*табили*зиро*вать дру*гие стра*ны, вме*шать*ся в их внут*реннюю полити*ку, при*чинить ущерб и денеж*ные потери.

Минюст США свя*зыва*ет груп*пиров*ку Sandworm с атаками на критическую инфраструктуру Украины, выборы во Франции, Олимпийские игры в Пхенчхане, разработкой шифровальщика NotPetya и другими инцидентами.


Source:
cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-005/
trustwave.com/en-us/resources/blogs/spiderlabs-blog/authentication-and-encryption-in-pas-web-shell-variant/
welivesecurity.com/2018/10/11/new-telebots-backdoor-linking-industroyer-notpetya/
 

Members, viewing this thread

Сейчас на форуме нет ни одного пользователя.