• tecnocloud26

França associa Sandworm da Rússia a uma onda de hackeamento de vários anos


A lista de clientes do Centreon inclui telecomunicações, companhias aéreas e uma empresa de energia nuclear. ERIC PIERMONT



OS MILITARES RUSSOS hackers conhecidos como Sandworm , responsáveis ​​por tudo, desde apagões na Ucrânia até NotPetya, o malware mais destrutivo da história , não têm reputação de discrição. Mas uma agência de segurança francesa agora alerta que hackers com ferramentas e técnicas vinculadas ao Sandworm hackearam furtivamente alvos naquele país, explorando uma ferramenta de monitoramento de TI chamada Centreon - e parecem ter se safado sem serem detectados por até três anos.


Na segunda-feira, a agência francesa de segurança da informação ANSSI publicou um alerta de que hackers com links para Sandworm, um grupo dentro da agência de inteligência militar GRU da Rússia, violaram várias organizações francesas. A agência descreve essas vítimas como "principalmente" empresas de TI e, particularmente, empresas de hospedagem na web. Notavelmente, a ANSSI diz que a campanha de intrusão data do final de 2017 e continuou até 2020. Nessas violações, os hackers parecem ter comprometido os servidores que executam o Centreon, vendido pela empresa de mesmo nome com sede em Paris.


Embora a ANSSI diga que não foi capaz de identificar como esses servidores foram hackeados, ela encontrou neles dois tipos de malware: um backdoor disponível publicamente chamado PAS e outro conhecido como Exaramel, que a empresa eslovaca de segurança cibernética ESET identificou Sandworm usando em intrusões anteriores . Embora os grupos de hackers reutilizem o malware uns dos outros - às vezes intencionalmente para enganar os investigadores - a agência francesa também afirma ter visto uma sobreposição nos servidores de comando e controle usados ​​na campanha de hacking do Centreon e em incidentes anteriores de hack do Sandworm.


Embora esteja longe de estar claro o que os hackers do Sandworm poderiam ter pretendido com a campanha de hackers na França, qualquer intrusão do Sandworm levanta o alarme entre aqueles que viram os resultados do trabalho anterior do grupo. "Sandworm está ligado a operações destrutivas", diz Joe Slowik, pesquisador da empresa de segurança DomainTools que rastreou as atividades de Sandworm por anos, incluindo um ataque à rede elétrica ucraniana onde apareceu uma variante anterior do backdoor Exaramel de Sandworm.

"Mesmo que não haja nenhum fim de jogo conhecido relacionado a esta campanha documentado pelas autoridades francesas, o fato de que está ocorrendo é preocupante, porque o objetivo final da maioria das operações Sandworm é causar algum efeito perturbador perceptível. Devemos estar prestando atenção."


ANSSI não identificou as vítimas da campanha de hacking. Mas uma página do site do Centreon lista clientes, incluindo provedores de telecomunicações Orange e OptiComm, empresa de consultoria de TI CGI, empresa de defesa e aeroespacial Thales, empresa de aço e mineração ArcelorMittal, Airbus, Air France KLM, empresa de logística Kuehne + Nagel, empresa de energia nuclear EDF, e Departamento de Justiça da França.

Em uma declaração enviada por e-mail na terça-feira, no entanto, um porta-voz do Centreon escreveu que nenhum cliente real do Centreon foi afetado na campanha de hacking. Em vez disso, a empresa diz que as vítimas estavam usando uma versão de código aberto do software Centreon que a empresa não ofereceu suporte por mais de cinco anos e argumenta que eles foram implantados de forma insegura, incluindo permitir conexões de fora da rede da organização. A declaração também observa que o ANSSI contou "apenas cerca de 15" alvos das intrusões. “O Centreon está atualmente contatando todos os seus clientes e parceiros para ajudá-los a verificar se suas instalações estão atualizadas e em conformidade com as diretrizes da ANSSI para um Sistema de Informação Saudável”, acrescenta a declaração. "


Alguns profissionais da indústria de segurança cibernética interpretaram imediatamente o relatório da ANSSI como sugerindo outro ataque à cadeia de suprimentos de software do tipo realizado contra a SolarWinds . Em uma vasta campanha de hackers revelada no final do ano passado, os hackers russos alteraram o aplicativo de monitoramento de TI da empresa e ele costumava penetrar em um número ainda desconhecido de redes que inclui pelo menos meia dúzia de agências federais dos EUA.


Mas o relatório da ANSSI não menciona um comprometimento da cadeia de suprimentos, e Centreon escreve em sua declaração que "este não é um ataque do tipo cadeia de suprimentos e nenhum paralelo com outros ataques desse tipo pode ser feito neste caso.


" Na verdade, Slowik do DomainTools diz que as invasões parecem ter sido realizadas simplesmente pela exploração de servidores voltados para a Internet que executam o software do Centreon dentro das redes das vítimas. Ele ressalta que isso se alinha a outro aviso sobre Sandworm que a NSA publicou em maio do ano passado:


A agência de inteligência avisou que Sandworm estava hackeando máquinas conectadas à Internet executando o cliente de e-mail Exim, que é executado em servidores Linux. Dado que o software do Centreon é executado em CentOS, que também é baseado em Linux, os dois alertas apontam para um comportamento semelhante durante o mesmo período de tempo.


“Ambas as campanhas em paralelo, durante o mesmo período de tempo, estavam sendo usadas para identificar servidores externos vulneráveis ​​que rodavam Linux para acesso inicial ou movimentação nas redes das vítimas”, disse Slowik. (Em contraste com Sandworm, que foi amplamente identificado como parte do GRU, os ataques SolarWinds ainda não foram definitivamente vinculados a nenhuma agência de inteligência específica, embora as empresas de segurança e a comunidade de inteligência dos EUA tenham atribuído a campanha de hacking ao governo russo .)

Sandworm tenha concentrado muitos de seus ataques cibernéticos mais notórios na Ucrânia - incluindo o worm NotPetya que se espalhou da Ucrânia para causar danos de US $ 10 bilhões em todo o mundo - o GRU não se esquivou de hackear agressivamente alvos franceses no passado. Em 2016, hackers do GRU se passando por extremistas islâmicos destruíram a rede da rede de televisão francesa TV5 , tirando seus 12 canais do ar. No ano seguinte, hackers do GRU, incluindo Sandworm, realizaram uma operação de hack-and-vazamento de e-mail com o objetivo de sabotar a campanha presidencial do candidato à presidência da França Emmanuel Macron.


Embora nenhum desses efeitos perturbadores pareça ter resultado da campanha de hacking descrita no relatório da ANSSI, as invasões do Centreon devem servir como um aviso, diz John Hultquist, vice-presidente de inteligência da empresa de segurança FireEye, cuja equipe de pesquisadores chamou Sandworm em 2014 Ele observa que a FireEye ainda não atribuiu as intrusões ao Sandworm independentemente do ANSSI - mas também avisa que é muito cedo para dizer que a campanha acabou.


"Isso poderia ser coleta de inteligência, mas Sandworm tem uma longa história de atividades que devemos considerar", disse Hultquist. "Sempre que encontramos Sandworm com acesso livre por um longo período de tempo, precisamos nos preparar para o impacto."

3 visualizações0 comentário

Atualizado em    19/01/21

Copyright © 2020 Tecnocloud26.