- Регистрация
- 31.12.2019
- Сообщения
- 7,535
- Реакции
- 36
Французское ********************ональное агентство безопасности информационных систем (ANSSI) заявило, что группа российских «правительственных» хакеров Sandworm (она же Telebots, BlackEnergy, Voodoo Bear) стоит за длившейся три года операцией, в результате которой был взломан ряд французских организаций, использующих мониторинговое ПО Centreon.
Отчет агентства гласит, что в основном атака затронула различных ИТ-провайдеров (в особенности хостеров). При этом первая жертва была скомпрометирована еще в конце 2017 года.
Как уже было сказано выше, произошедшие взломы связывают с мониторинговой платформой Centreon, разработанной одноименной французской компанией. В сущности, этот продукт почти аналогичен по функциональности платформе Orion компании SolarWinds, о компрометации которой стало известно в декабре прошлого года. Среди клиентов Centreon числится немало известных организаций, включая Airbus, Air France KLM, Agence France-Presse (AFP), Euronews, Orange, Arcelor Mittal, Sephora и даже Министерство юстиции Франции.
Эксперты ANSSI пишут, что злоумышленники атаковали доступные через интернет системы Centreon, однако остается неясным, использовали хакеры какие-то уязвимость в Centreon или брутфорсили пароли для учетных записей администраторов. Известно лишь, что многие пострадавшие использовали последние версии Centreon, и случившееся не было атакой на цепочку поставок, как в случае с SolarWinds.
Если атака оказывалась успешной, злоумышленники заражали систему веб-шеллом PAS и бэкдор-трояном Exaramel, что позволяло им полностью контролировать скомпрометированную систему и прилегающую к ней сеть.
Теперь ANSSI призывает все французские и международные организации проверить свои установки Centreon и системы на предмет компрометации и присутствие вредоносов PAS и Exaramel.
Sandworm
В конце 2020 года Ми*нис*терс*тво юсти*ции США предъ*яви*ло обви*нения шес*ти рос*сий*ским гражданам, которые якобы вхо*дят в груп*пиров*ку Sandworm.
Аме*рикан*ские влас*ти утверждают, что все обви*няемые слу*жат в под*разде*лении 74455 Глав*ного раз*ведыва*тель*ного управле*ния Рос*сии (Unit 74455) и по при*казу пра*витель*ства Рос*сии про*води*ли кибера*таки с целью дес*табили*зиро*вать дру*гие стра*ны, вме*шать*ся в их внут*реннюю полити*ку, при*чинить ущерб и денеж*ные потери.
Минюст США свя*зыва*ет груп*пиров*ку Sandworm с атаками на критическую инфраструктуру Украины, выборы во Франции, Олимпийские игры в Пхенчхане, разработкой шифровальщика NotPetya и другими инцидентами.
Source:
cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-005/
trustwave.com/en-us/resources/blogs/spiderlabs-blog/authentication-and-encryption-in-pas-web-shell-variant/
welivesecurity.com/2018/10/11/new-telebots-backdoor-linking-industroyer-notpetya/
Отчет агентства гласит, что в основном атака затронула различных ИТ-провайдеров (в особенности хостеров). При этом первая жертва была скомпрометирована еще в конце 2017 года.
Как уже было сказано выше, произошедшие взломы связывают с мониторинговой платформой Centreon, разработанной одноименной французской компанией. В сущности, этот продукт почти аналогичен по функциональности платформе Orion компании SolarWinds, о компрометации которой стало известно в декабре прошлого года. Среди клиентов Centreon числится немало известных организаций, включая Airbus, Air France KLM, Agence France-Presse (AFP), Euronews, Orange, Arcelor Mittal, Sephora и даже Министерство юстиции Франции.
Эксперты ANSSI пишут, что злоумышленники атаковали доступные через интернет системы Centreon, однако остается неясным, использовали хакеры какие-то уязвимость в Centreon или брутфорсили пароли для учетных записей администраторов. Известно лишь, что многие пострадавшие использовали последние версии Centreon, и случившееся не было атакой на цепочку поставок, как в случае с SolarWinds.
Если атака оказывалась успешной, злоумышленники заражали систему веб-шеллом PAS и бэкдор-трояном Exaramel, что позволяло им полностью контролировать скомпрометированную систему и прилегающую к ней сеть.
Теперь ANSSI призывает все французские и международные организации проверить свои установки Centreon и системы на предмет компрометации и присутствие вредоносов PAS и Exaramel.
Sandworm
В конце 2020 года Ми*нис*терс*тво юсти*ции США предъ*яви*ло обви*нения шес*ти рос*сий*ским гражданам, которые якобы вхо*дят в груп*пиров*ку Sandworm.
Аме*рикан*ские влас*ти утверждают, что все обви*няемые слу*жат в под*разде*лении 74455 Глав*ного раз*ведыва*тель*ного управле*ния Рос*сии (Unit 74455) и по при*казу пра*витель*ства Рос*сии про*води*ли кибера*таки с целью дес*табили*зиро*вать дру*гие стра*ны, вме*шать*ся в их внут*реннюю полити*ку, при*чинить ущерб и денеж*ные потери.
Минюст США свя*зыва*ет груп*пиров*ку Sandworm с атаками на критическую инфраструктуру Украины, выборы во Франции, Олимпийские игры в Пхенчхане, разработкой шифровальщика NotPetya и другими инцидентами.
Source:
cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-005/
trustwave.com/en-us/resources/blogs/spiderlabs-blog/authentication-and-encryption-in-pas-web-shell-variant/
welivesecurity.com/2018/10/11/new-telebots-backdoor-linking-industroyer-notpetya/