A kiberbiztonságáért felelős francia kormányügynökség (Agence Nationale de Sécurité des Systèmes d'Information, ANSSI) hétfői jelentése szerint az orosz hadsereghez köthető hekkerek Sandworm néven ismert csoportja egy három éven keresztül zajló akció keretei között betört az országban működő különböző szervezetek belső rendszereibe. A célpontokhoz az ugyancsak francia Centreon monitoring platformjánkeresztül szereztek hozzáférést, az érintettek között pedig elsősorban technológiai szolgáltatók, köztük webhosting-szolgáltatók szerepelnek.

Az ANSSI közleménye alapján a legelső áldozat rendszereit már 2017 végén kompromittálódtak, a kampány maga pedig egészen 2020-ig tartott. A támadások áldozatául esett hálózatokban a belépési pont a Centreon szoftvere volt, ami funkcióit tekintve nagyban hasonlít az amerikai SolarWinds Orion platformjához.

Mint ismeretes, a Egyesült Államokban a valaha volt legnagyobb és legkifinomultabb támadásnak minősített, gondosan előkészített és hónapokig észrevétlenül zajló akciót a múlt év decemberében fedezték fel az USA-ban. Akkor az IT-megoldásszállító SolarWinds szoftverének frissítésébe rejtett károkozóval dolgoztak, és az illetékes amerikai kormányügynökségek azóta már hivatalosan is Oroszországból származtatja a támadást. Annak pontos méretét és hatásait azóta is egyre komolyabbra becsülik, legutóbb éppen a Microsoft osztott meg vele kapcsolatban érdekes részleteket.

Nem először jártak a franciáknál sem

A franciák esetében a hekkerek olyan Centreon-rendszereket céloztak, amelyek folyamatosan az internetre kapcsolódva működtek. Arról még nem közöltek semmit, hogy a behatolók valamilyen szoftveres sérülékenységet használtak ki, vagy más módon megszerzett hozzáféréseket alkalmaztak az adminisztrátori jogosultságokkal való belépésekhez. A lényeg azonban az, hogy egy web shell malware és a már korábban is ismert Exaramel kártevő telepítésével hátsó kapukat hoztak létre, ezek révén pedig teljes irányítást szereztek a rendszerekben és a hozzájuk tartozó hálózatokban.

Az ANSSI a rendelkezésére álló információ alapján ugyancsak az orosz Sandworm APT-t sejti a támadások mögött (Advanced Persistent Threat - fejlett perzisztens fenyegetés), amit már korábban is kapcsolatba hoztak a GRU, vagyis az orosz hadsereg katonai hírszerző szolgálatának egyik egységével. A csoport neve felmerült a 2015-16-ban Ukrajnában vagy a 2018-as téli olimpián végrehajtott kiberámadások során, a NotPetya ransomware 2017-es terjedésekor, vagy 2019-ben a grúziai weboldalakat tömegesen megbénító akciókban.

Ahogy a ZDnet riportjából is kiderül, a Sandworm neve Franciaországról szólva sem először bukkan fel, miután őket feltételezték az Emmanuel Macron francia elnök REM politikai pártját célzó spear phishing kampányok, illetve a velük összefüggő, bizalmas információk kiszivárogtatására törekvő hack-and-leak műveletek mögött is.

Az ANSSI jelentésben a francia és a nemzetközi szervezeteket is arra szólatja fel, hogy halladéktalanul vizsgálják meg Centrion-telepítéseiket, különös tekintettel a most felfedezett malware-ek jelenlétére utaló terhelésekre. A Centreon egyelőre nem adott ki hivatalos nyilatkozatot. Ahogy időközben a Twitteren több biztonsági szakértő is jelezte, a Centreon és a SolarWinds Orion alkalmazásainak hasonlósága ellenére is meghatározó különbség a támadások között, hogy az előbbi az internetre csatlakozó rendszerek elleni opportunista támadásnak tűnik, míg az utóbbi az ellátási láncot érintő támadás (supply chain attack) volt.