法国将俄罗斯的沙虫与多年的黑客狂欢联系在一起

2021-02-17 19:16:22

俄罗斯军事黑客称为Sandworm,它负责从乌克兰的停电事件到历史上最具破坏性的恶意软件NotPetya的所有事情,并没有因谨慎而声名狼藉。但是法国一家安全机构现在警告说,利用与Sandworm链接的工具和技术的黑客已经通过利用名为Centreon的IT监视工具偷偷入侵了该国的目标,并且似乎已经摆脱了长达三年的未被发现。

周一,法国信息安全机构ANSSI发布了一份警告性警告,称与俄罗斯GRU军事情报机构内部的Sandworm有链接的黑客入侵了数个法国组织。该机构将这些受害者描述为“主要是” IT公司,尤其是Web托管公司。值得注意的是,ANSSI表示,入侵活动可以追溯到2017年末,一直持续到2020年。在这些违规事件中,黑客似乎破坏了运行Centreon的服务器,该服务器由巴黎的同名公司出售。

尽管ANSSI表示尚无法识别这些服务器是如何被黑客入侵的,但在其上发现了两种不同的恶意软件:一个是公开可用的后门,称为PAS,另一个是Exaramel,斯洛伐克的网络安全公司Eset发现了该蠕虫在以前的入侵中使用。尽管黑客组织确实会互相重复使用恶意软件(有时是故意误导调查人员),但该法国机构也表示,在Centreon黑客活动和以前的Sandworm黑客事件中使用的命令和控制服务器存在重叠。

尽管尚不清楚Sandworm的黑客在长达一年的法国黑客活动中的意图,但任何Sandworm入侵都会在看到该小组过去工作成果的人中发出警报。 " Sandworm与破坏性操作相关联,"安全公司DomainTools的研究人员乔·斯洛维克(Joe Slowik)说,他追踪了Sandworm的活动已有多年,包括对乌克兰电网的攻击,该攻击中出现了Sandworm早期Exaramel后门的变种。即使法国当局没有记录与这场战役有关联的残局,但事实却令人担忧,因为大多数沙虫行动的最终目的都是引起一些明显的后果。破坏作用。我们应该引起注意。"

ANSSI没有确定黑客攻击活动的受害者。但是,Centreon网站上的页面列出了客户,其中包括电信提供商Orange和OptiComm,IT咨询公司CGI,国防和航空航天公司Thales,钢铁和矿业公司ArcelorMittal,空客,法航KLM,物流公司Kuehne + Nagel,核电法国电力公司和法国司法部。

然而,在周二的一封电子邮件声明中,Centreon的发言人写道,黑客活动没有影响到任何真正的Centreon客户。取而代之的是,该公司称受害者使用的是该公司五年多来一直不支持的开源版本的Centreon软件,并且该公司辩称他们的部署不安全,包括允许来自外部的连接。组织的网络。声明还指出,ANSSI仅统计了15。入侵目标。 " Centreon目前正在与所有客户和合作伙伴联系,以帮助他们验证其安装是否最新并符合ANSSI的健康信息系统指南,"该声明补充。 " Centreon建议所有仍在生产中使用过其开源软件版本的用户将其更新到最新版本,或与Centreon及其认证合作伙伴网络联系。

网络安全行业中的一些人立即将ANSSI报告解释为建议对SolarWinds进行的另一种此类软件供应链攻击。在去年年底揭露的大规模黑客活动中,俄罗斯黑客改变了该公司的IT监控应用程序,该程序曾经渗透到数量未知的网络中,其中包括至少六个美国联邦机构。

但是ANSSI的报告并未提及供应链的妥协,Centreon在其声明中写道,这不是供应链类型的攻击,在此类攻击中无法与之平行。这种情况。"实际上,DomainTools' Slowik说,入侵似乎只是通过利用在受害者体内运行Centreon软件的面向Internet的服务器来进行的。网络。他指出,这将与去年5月美国国家安全局(NSA)发布的有关Sandworm的另一条警告相吻合:情报机构警告Sandworm正在入侵运行在Linux服务器上运行的Exim电子邮件客户端的面向Internet的计算机。鉴于Centreon的软件可以在基于Linux的CentOS上运行,因此这两个建议在相同的时间范围内都具有相似的行为。 "在同一时间段内,这两个活动同时被用来识别面向外部的易受攻击的服务器,这些服务器恰好运行Linux以便在受害者网络中进行初始访问或移动。 Slowik说。 (与已经被广泛认为是GRU一部分的Sandworm相比,SolarWinds攻击还没有明确地与任何特定的情报机构相关联,尽管安全公司和美国情报界将黑客攻击活动归因于俄罗斯政府)

尽管Sandworm已将许多最臭名昭著的网络攻击集中在乌克兰,包括从乌克兰传播的NotPetya蠕虫,在全球造成了100亿美元的损失,但GRU过去并没有回避积极地攻击法国目标。 2016年,冒充伊斯兰极端分子的GRU黑客摧毁了法国的TV5电视网络,并关闭了其12个频道。第二年,包括Sandworm在内的GRU黑客进行了一次电子邮件黑客入侵活动,目的是破坏法国总统候选人马克龙(Emmanuel Macron)的总统竞选活动。

安全公司FireEye的情报副总裁John Hultquist说,虽然ANSSI报告中描述的黑客活动似乎没有造成这种破坏性影响,但Centreon入侵应该作为警告。他在2014年将Sandworm命名为Sandworm。他指出,FireEye尚未将入侵行为归因于ANSSI,而是将其归因于Sandworm,但同时也警告说,该活动已经结束还为时过早。 "这可能是情报收集,但是Sandworm具有很长的活动历史,我们必须考虑,"赫尔奎斯特说。 "每当我们发现很长一段时间内具有清晰访问权限的Sandworm时,我们都需要做好准备以应对影响。