A kampány 2017 és 2020 között zajlott a Centreon platformját alkalmazó szerverek ellen, a célpontok között elsősorban technológiai szolgáltatók voltak.

A kiberbiztonságáért felelős francia kormányügynökség (Agence Nationale de Sécurité des Systèmes d'Information, ANSSI) hétfői jelentése szerint az orosz hadsereghez köthető hekkerek Sandworm néven ismert csoportja egy három éven keresztül zajló akció keretei között betört az országban működő különböző szervezetek belső rendszereibe. A célpontokhoz az ugyancsak francia Centreon monitoring platformjánkeresztül szereztek hozzáférést, az érintettek között pedig elsősorban technológiai szolgáltatók, köztük webhosting-szolgáltatók szerepelnek.

Az ANSSI közleménye alapján a legelső áldozat rendszereit már 2017 végén kompromittálódtak, a kampány maga pedig egészen 2020-ig tartott. A támadások áldozatául esett hálózatokban a belépési pont a Centreon szoftvere volt, ami funkcióit tekintve nagyban hasonlít az amerikai SolarWinds Orion platformjához.

Mint ismeretes, a Egyesült Államokban a valaha volt legnagyobb és legkifinomultabb támadásnak minősített, gondosan előkészített és hónapokig észrevétlenül zajló akciót a múlt év decemberében fedezték fel az USA-ban. Akkor az IT-megoldásszállító SolarWinds szoftverének frissítésébe rejtett károkozóval dolgoztak, és az illetékes amerikai kormányügynökségek azóta már hivatalosan is Oroszországból származtatja a támadást. Annak pontos méretét és hatásait azóta is egyre komolyabbra becsülik, legutóbb éppen a Microsoft osztott meg vele kapcsolatban érdekes részleteket.

Nem először jártak a franciáknál sem

A franciák esetében a hekkerek olyan Centreon-rendszereket céloztak, amelyek folyamatosan az internetre kapcsolódva működtek. Arról még nem közöltek semmit, hogy a behatolók valamilyen szoftveres sérülékenységet használtak ki, vagy más módon megszerzett hozzáféréseket alkalmaztak az adminisztrátori jogosultságokkal való belépésekhez. A lényeg azonban az, hogy egy web shell malware és a már korábban is ismert Exaramel kártevő telepítésével hátsó kapukat hoztak létre, ezek révén pedig teljes irányítást szereztek a rendszerekben és a hozzájuk tartozó hálózatokban.

Az ANSSI a rendelkezésére álló információ alapján ugyancsak az orosz Sandworm APT-t sejti a támadások mögött (Advanced Persistent Threat - fejlett perzisztens fenyegetés), amit már korábban is kapcsolatba hoztak a GRU, vagyis az orosz hadsereg katonai hírszerző szolgálatának egyik egységével. A csoport neve felmerült a 2015-16-ban Ukrajnában vagy a 2018-as téli olimpián végrehajtott kiberámadások során, a NotPetya ransomware 2017-es terjedésekor, vagy 2019-ben a grúziai weboldalakat tömegesen megbénító akciókban.

Ahogy a ZDnet riportjából is kiderül, a Sandworm neve Franciaországról szólva sem először bukkan fel, miután őket feltételezték az Emmanuel Macron francia elnök REM politikai pártját célzó spear phishing kampányok, illetve a velük összefüggő, bizalmas információk kiszivárogtatására törekvő hack-and-leak műveletek mögött is.

Az ANSSI jelentésben a francia és a nemzetközi szervezeteket is arra szólatja fel, hogy halladéktalanul vizsgálják meg Centrion-telepítéseiket, különös tekintettel a most felfedezett malware-ek jelenlétére utaló terhelésekre. A Centreon egyelőre nem adott ki hivatalos nyilatkozatot. Ahogy időközben a Twitteren több biztonsági szakértő is jelezte, a Centreon és a SolarWinds Orion alkalmazásainak hasonlósága ellenére is meghatározó különbség a támadások között, hogy az előbbi az internetre csatlakozó rendszerek elleni opportunista támadásnak tűnik, míg az utóbbi az ellátási láncot érintő támadás (supply chain attack) volt.

Biztonság

12,5 millió: átlagosan ennyit keres évente egy magyar projektmendzser

Szép pénz, de nemzetközi összehasonlításban ezzel a keresettel nagyjából a portugál és brazil kollégáik közé férnének be a magyarok.
 
Hirdetés

Trend Micro: túl kell lépni a helyhez kötött biztonságon

Bár Magyarországon még az on-premise megoldásokat kedvelik a vállalatok, a hálózatba kapcsoltság általánossá válása miatt túl kell lépni ezen a szemléleten.

Minél szélesebb látószögű optikával nézi az IT-infrastruktúrát a biztonsági csapat, annál gyorsabban veszi észre a fenyegetéseket, és tud azokra reagálni. Ebben segítik az XDR-platformok.

a melléklet támogatója a Trend Micro

A KPMG immár 22. alkalommal kiadott CIO Survey jelentése szerint idén az informatikai vezetők leginkább a digitalizációra, a biztonságra és a szoftverszolgáltatásokra koncentráltak.

Használtszoftver-kereskedelem a Brexit után

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.