法国刚刚遭受了SolarWinds式的网络攻击
随着美国继续以针对政府和整个行业的“ SolarWinds”骇客入侵为目标,法国宣布其也遭受了大规模的供应链网络攻击。该消息来自最近发布的技术报告,该报告由法国国家情报局或法国政府主要网络安全机构ANSSI发布。与美国一样,法国当局也暗示俄罗斯可能参与其中。
据ANSSI称,一个复杂的黑客组织已成功渗透了Centreon Systems产品,这是一家法国IT公司,专门从事网络和系统监控,许多法国政府机构以及一些国家最大的公司(法航等)都在使用该产品。 )。 Centreon的客户页面显示,它与法国司法部,法国理工学院和区域公共机构以及一些美国最大的农业食品生产公司合作。
现在中国人参与其中。这是在SolarWinds中出现的最新指控之一...
阅读更多
尽管ANSSI并未正式将黑客归因于任何组织,但该机构表示所使用的技术与俄罗斯军事黑客组织“ Sandworm”(也称为74455单位)具有相似之处。入侵活动至少可以追溯到2017年,尽管ANSSI拒绝透露受害者的名字或说有多少人受到影响,但入侵活动允许黑客破坏了许多法国组织的系统。
虽然从报告中还不清楚黑客最初是如何危害Centreon的,但该报告显示,一旦进入内部,他们便使用Web Shell进行入侵活动。 Webshell是恶意脚本,允许恶意行为者远程劫持网站或系统并对其进行控制。
订阅2年,并在结帐时将额外的1个月,1年或2年计划添加到您的购物车中。
在Centreon的案例中,黑客使用了两种不同的脚本P.A.S.和Exaramel。两者都充当后门,可能使黑客获得对网站或系统的控制权并对其进行远程控制:“在受到入侵的系统上,ANSSI发现以Web Shell形式存在后门的情况落在了暴露于互联网的多个Centreon服务器上”,该机构写道。当这些脚本一起使用时,它们可以使黑客完全控制受感染的系统。
该报告还指出,Examarel后门与在不同的Sandworm战役中使用的后门相同,并且先前已由法国安全公司ESET确定:
[ESET]注意到此后门与入侵集TeleBots(也称为Sandworm [7])使用的Industroyer之间的相似之处。即使可以轻松地重用此工具,ANSSI也知道命令和控制基础结构受入侵集控制。一般而言,众所周知,入侵设备Sandworm会领导随后的入侵活动,然后重点关注适合其在受害者群体中的战略利益的特定目标。 ANSSI观察到的活动符合此行为。
多年来,Sandworm因其犯罪活动和政治干预而声名狼藉。去年10月,六名俄罗斯情报人员因其在黑客组织的犯罪活动中的作用而被美国司法部起诉,包括企图干预2017年法国大选,勒索软件攻击美国企业造成“近10亿美元的损失”,并试图破解在平昌举办的2018年奥运会。
尽管ANSSI报告中并未阐明“ Centreon”活动的范围和目的,但它与美国的SolarWinds供应链黑客之间的相似之处却很明确。底线?第三方供应商给大型官僚机构和公司机构带来了巨大的安全风险。同时,如何有效地弥补制度上的脆弱性的问题尚未得到令人满意的回答。
