A kampány 2017 és 2020 között zajlott a Centreon platformját alkalmazó szerverek ellen, a célpontok között elsősorban technológiai szolgáltatók voltak.

A kiberbiztonságáért felelős francia kormányügynökség (Agence Nationale de Sécurité des Systèmes d'Information, ANSSI) hétfői jelentése szerint az orosz hadsereghez köthető hekkerek Sandworm néven ismert csoportja egy három éven keresztül zajló akció keretei között betört az országban működő különböző szervezetek belső rendszereibe. A célpontokhoz az ugyancsak francia Centreon monitoring platformjánkeresztül szereztek hozzáférést, az érintettek között pedig elsősorban technológiai szolgáltatók, köztük webhosting-szolgáltatók szerepelnek.

Az ANSSI közleménye alapján a legelső áldozat rendszereit már 2017 végén kompromittálódtak, a kampány maga pedig egészen 2020-ig tartott. A támadások áldozatául esett hálózatokban a belépési pont a Centreon szoftvere volt, ami funkcióit tekintve nagyban hasonlít az amerikai SolarWinds Orion platformjához.

Mint ismeretes, a Egyesült Államokban a valaha volt legnagyobb és legkifinomultabb támadásnak minősített, gondosan előkészített és hónapokig észrevétlenül zajló akciót a múlt év decemberében fedezték fel az USA-ban. Akkor az IT-megoldásszállító SolarWinds szoftverének frissítésébe rejtett károkozóval dolgoztak, és az illetékes amerikai kormányügynökségek azóta már hivatalosan is Oroszországból származtatja a támadást. Annak pontos méretét és hatásait azóta is egyre komolyabbra becsülik, legutóbb éppen a Microsoft osztott meg vele kapcsolatban érdekes részleteket.

Nem először jártak a franciáknál sem

A franciák esetében a hekkerek olyan Centreon-rendszereket céloztak, amelyek folyamatosan az internetre kapcsolódva működtek. Arról még nem közöltek semmit, hogy a behatolók valamilyen szoftveres sérülékenységet használtak ki, vagy más módon megszerzett hozzáféréseket alkalmaztak az adminisztrátori jogosultságokkal való belépésekhez. A lényeg azonban az, hogy egy web shell malware és a már korábban is ismert Exaramel kártevő telepítésével hátsó kapukat hoztak létre, ezek révén pedig teljes irányítást szereztek a rendszerekben és a hozzájuk tartozó hálózatokban.

Az ANSSI a rendelkezésére álló információ alapján ugyancsak az orosz Sandworm APT-t sejti a támadások mögött (Advanced Persistent Threat - fejlett perzisztens fenyegetés), amit már korábban is kapcsolatba hoztak a GRU, vagyis az orosz hadsereg katonai hírszerző szolgálatának egyik egységével. A csoport neve felmerült a 2015-16-ban Ukrajnában vagy a 2018-as téli olimpián végrehajtott kiberámadások során, a NotPetya ransomware 2017-es terjedésekor, vagy 2019-ben a grúziai weboldalakat tömegesen megbénító akciókban.

Ahogy a ZDnet riportjából is kiderül, a Sandworm neve Franciaországról szólva sem először bukkan fel, miután őket feltételezték az Emmanuel Macron francia elnök REM politikai pártját célzó spear phishing kampányok, illetve a velük összefüggő, bizalmas információk kiszivárogtatására törekvő hack-and-leak műveletek mögött is.

Az ANSSI jelentésben a francia és a nemzetközi szervezeteket is arra szólatja fel, hogy halladéktalanul vizsgálják meg Centrion-telepítéseiket, különös tekintettel a most felfedezett malware-ek jelenlétére utaló terhelésekre. A Centreon egyelőre nem adott ki hivatalos nyilatkozatot. Ahogy időközben a Twitteren több biztonsági szakértő is jelezte, a Centreon és a SolarWinds Orion alkalmazásainak hasonlósága ellenére is meghatározó különbség a támadások között, hogy az előbbi az internetre csatlakozó rendszerek elleni opportunista támadásnak tűnik, míg az utóbbi az ellátási láncot érintő támadás (supply chain attack) volt.

Biztonság

Szupervékony hajlítható telefonnal jelentkezett a Huawei

A kínai gyártó az amerikai szankciók ellenére komoly fejlesztésekkel igyekszik meghatározó márka maradni a mobilos szegmensben.
 
Hirdetés

Ez gyorsan ment, az Invitech bevezeti a SOAR-t

Az Invitech biztonsági műveleti központjában olyan automatizált megoldást vezetnek be, amellyel akár egy eddig félnapos elemzőmunka is csak negyedórát vehet majd igénybe. Ez a SOAR.

A modern kihívásokkal szemben is ellenállóvá tudja tenni az IT-biztonságot az automatizáció, de nem csodaszer. Az akadályok azonban leküzdhetők, csak be kell tartani néhány egyszerű szabályt.

a melléklet támogatója az Invitech

CIO KUTATÁS

A HAZAI NAGYVÁLLALATOK FELHŐHASZNÁLATÁRÓL

Az Ön véleményére is számítunk Corvinus Egyetem Adatelemzés és Informatika Intézetével és az IPR-Insights szakértőivel közösen összeállított kutatásunkban.
Segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!

LÁSSUNK NEKI!

Létezik egy ortodox irányzat, mely szerint a jelszavak legyenek minél hosszabbak és összetettebbek, valamint cseréljük azokat minél gyakrabban. Valóban ettől lesznek a rendszereink biztonságosabbak? Pfeiffer Szilárd (Balasys) írása.

Miért ne becsüljük le a kisbetűs jelszavakat? 2. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 3. rész

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2023 Bitport.hu Média Kft. Minden jog fenntartva.