L’ANSSI établit le lien entre Sandworm et des cyberattaques

0

L’ANSSI (abréviation de Agence Nationale de la Sécurité des Systèmes d’Information) a fait le lien entre une série d’attaques qui a visé plusieurs fournisseurs informatiques français sur une période de quatre ans et le groupe de piratage Sandworm soutenu par la Russie.

L’ANSSI n’a pas été en mesure de déterminer comment les serveurs ont été compromis.

Par conséquent, il n’est pas encore clair si les attaquants ont exploité une vulnérabilité dans le logiciel Centreon exposé ou si les victimes ont été compromises par une attaque de la chaîne d’approvisionnement.

« La première victime semble avoir été compromise à partir de fin 2017. La campagne a duré jusqu’en 2020 », a déclaré l’ANSSI dans un rapport publié plus tôt cette semaine.

« Cette campagne a principalement touché les fournisseurs de technologies de l’information, en particulier les fournisseurs d’hébergement Web. »

Des portes dérobées déployées sur les serveurs piratés

L’ANSSI a découvert que les attaquants avaient déployé des portes dérobées Exaramel et PAS web shell (alias Fobushell) lors de l’analyse de serveurs compromis sur les réseaux des organisations concernées.

Pour déployer les outils malveillants sur les serveurs exposés à Internet des victimes, les pirates informatiques ont ciblé le logiciel de surveillance informatique Centreon.

La liste de clients de Centreon comprend plusieurs organisations de premier plan, dont Airbus, Air France KLM, l’Agence France-Presse (AFP), Euronews, Orange, Arcelor Mittal, Sephora et même le ministère de la Justice.

Les attaquants ont utilisé des services VPN publics et commerciaux et des services d’anonymisation lors de la connexion aux portes dérobées, notamment le réseau Tor, EXpressVPN, VPNBook et PrivateInternetAccess (PIA).

sandworm

Selon l’ANSSI, la campagne montre plusieurs similitudes avec les comportements observés lors de l’analyse des précédentes attaques de Sandworm.

L’ANSSI a également déclaré que l’infrastructure de commande et de contrôle utilisée par les pirates informatiques pour contrôler les logiciels malveillants déployés sur les machines compromises des victimes était connue comme étant des serveurs contrôlés par Sandworm.

L’ANSSI ne connaît pas encore le vecteur d’attaque

L’ANSSI n’a pas été en mesure de déterminer comment les serveurs ont été compromis, il n’est donc pas clair si les attaquants ont exploité une vulnérabilité dans le logiciel Centreon exposé ou si les victimes ont été compromises par une attaque de la chaîne d’approvisionnement.

«Les serveurs compromis identifiés par l’ANSSI exécutaient le système d’exploitation CENTOS. Centreon a été récemment mis à jour», a ajouté l’ANSSI.

« La version d’installation la plus récente étudiée par l’ANSSI était la 2.5.2. La méthode de compromis initiale n’est pas connue. »

De plus, l’agence française de cybersécurité n’a pas pu trouver l’origine du binaire de la porte dérobée Exaramel.

L’ANSSI fournit des indicateurs de compromis et des règles Yara pour les administrateurs qui souhaitent analyser leurs systèmes pour détecter des signes d’intrusion.

sandworm anssi

Sandworm (également connu sous le nom de BlackEnergy et TeleBots) est un groupe d’élite de cyberespionnage soutenu par la Russie et actif depuis le milieu des années 2000, avec des membres supposés être des acteurs de la menace militaire faisant partie de l’unité 74455 du Centre principal pour les technologies spéciales du GRU russe (GTsST).

Ce groupe est lié au malware BlackEnergy derrière les pannes ukrainiennes de 2015 et 2016 et aux attaques wiper de KillDisk visant les banques ukrainiennes.

Les hackers de Sandworm ont également créé le ransomware NotPetya qui a infligé des milliards de dégâts aux entreprises du monde entier à partir de juin 2017.

En octobre 2020, le département américain de la Justice a inculpé six agents de Sandworm pour des opérations de piratage liées aux Jeux olympiques d’hiver de Pyeongchang, aux élections françaises de 2017 et à l’attaque du ransomware NotPetya.

Laisser un commentaire