Les hackers de Sandworm ont ciblé les vieux logiciels Centreon

0

Centreon, le fabricant du logiciel de surveillance informatique exploité par les hackers russe du groupe Sandworm pour infiltrer les réseaux des entreprises françaises, a déclaré aujourd’hui que seules les organisations utilisant des logiciels obsolètes étaient compromises.

Le communiqué de presse de Centreon fait suite à un rapport publié par l’ANSSI, l’agence nationale française de cybersécurité, décrivant une série d’attaques qui ont abouti à la violation de plusieurs fournisseurs informatiques français pendant quatre ans.

L’ANSSI a déclaré que la première victime avait été compromise fin 2017, les attaquants continuant de cibler les fournisseurs français de technologies de l’information jusqu’en 2020.

Comme l’a révélé l’ANSSI, tous les serveurs compromis lors de cette série d’attaques utilisait le logiciel de surveillance informatique de Centreon. Pourtant, l’agence n’a pas trouvé le vecteur utilisé pour pirater les serveurs des victimes et déployer des portes dérobées Exaramel et PAS (alias Fobushell).

Pas une attaque de chaine d’approvisionnement

Suite au rapport de l’ANSSI, Centreon affirme qu’aucun de ses clients n’a été touché par les attaques. Les organisations concernées ont utilisé une version obsolète et gratuite de son logiciel sortie en 2014.

Centreon a ajouté que, depuis la publication de la version obsolète, ils ont sorti huit autres versions majeures.

« Selon les discussions au cours des dernières 24 heures avec l’ANSSI, seules une quinzaine d’entités ont été la cible de cette campagne, et elles utilisent toutes une version open source obsolète (v2.5.2), qui n’est plus prise en charge depuis 5 ans », a déclaré Centreon.

«La campagne décrite par l’ANSSI concerne exclusivement les versions obsolètes des logiciels open source de Centreon. En effet, l’ANSSI précise que la version la plus récente concernée par cette campagne est la version 2.5.2, sortie en novembre 2014.

« Cette version n’est non seulement plus supportée depuis plus de 5 ans, mais a apparemment également été déployée sans respect pour la sécurité des serveurs et des réseaux, y compris les connexions en dehors des entités concernées. »

La société a également ajouté qu’il ne s’agissait pas d’une attaque de la chaîne d’approvisionnement, les pirates russes n’utilisant pas sa plate-forme informatique pour fournir du code malveillant sur les serveurs des clients Centreon.

« Le rapport de l’ANSSI et nos échanges avec eux confirment que Centreon n’a pas distribué ou contribué à propager du code malveillant », a ajouté Centreon. « Il ne s’agit pas d’une attaque de type supply chain et aucun parallèle avec d’autres attaques de ce type ne peut être fait dans ce cas. »

La liste de clients de Centreon inclut des organisations de premier plan telles qu’Airbus, Air France KLM, l’Agence France-Presse (AFP), Euronews, Orange, Arcelor Mittal, Sephora et plusieurs organisations gouvernementales françaises, dont le ministère français de la Justice.

Le groupe Sandworm semble être derrière ces attaques

L’agence française de cybersécurité a trouvé plusieurs similitudes avec les précédentes attaques de Sandworm, notamment le lancement de campagnes d’intrusion avant de choisir les victimes pour un compromis supplémentaire.

L’ANSSI a ajouté que les serveurs de commande et de contrôle utilisés pour contrôler les logiciels malveillants déployés sur les machines compromises des victimes françaises étaient également connus comme étant des machines contrôlées par Sandworm.

Sandworm (alias BlackEnergy et TeleBots) est un groupe d’élite de cyberespionnage parrainé par la Russie et qui est actif depuis au moins deux décennies, avec des membres qui feraient partie de l’unité 74455 du Centre principal pour les technologies spéciales du GRU russe (GTsST).

Ce groupe est lié aux attaques qui ont conduit aux pannes ukrainiennes de 2015 et 2016, aux attaques KillDisk visant les banques ukrainiennes, et aurait également créé le ransomware NotPetya qui a causé des milliards de dégâts depuis Juin 2017.

Le gouvernement américain a inculpé six agents de Sandworm en octobre 2020 pour des opérations de piratage liées à l’attaque du ransomware NotPetya aux Jeux olympiques d’hiver de Pyeongchang et aux élections françaises de 2017.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.