A kampány 2017 és 2020 között zajlott a Centreon platformját alkalmazó szerverek ellen, a célpontok között elsősorban technológiai szolgáltatók voltak.
Hirdetés
 

A kiberbiztonságáért felelős francia kormányügynökség (Agence Nationale de Sécurité des Systèmes d'Information, ANSSI) hétfői jelentése szerint az orosz hadsereghez köthető hekkerek Sandworm néven ismert csoportja egy három éven keresztül zajló akció keretei között betört az országban működő különböző szervezetek belső rendszereibe. A célpontokhoz az ugyancsak francia Centreon monitoring platformjánkeresztül szereztek hozzáférést, az érintettek között pedig elsősorban technológiai szolgáltatók, köztük webhosting-szolgáltatók szerepelnek.

Az ANSSI közleménye alapján a legelső áldozat rendszereit már 2017 végén kompromittálódtak, a kampány maga pedig egészen 2020-ig tartott. A támadások áldozatául esett hálózatokban a belépési pont a Centreon szoftvere volt, ami funkcióit tekintve nagyban hasonlít az amerikai SolarWinds Orion platformjához.

Mint ismeretes, a Egyesült Államokban a valaha volt legnagyobb és legkifinomultabb támadásnak minősített, gondosan előkészített és hónapokig észrevétlenül zajló akciót a múlt év decemberében fedezték fel az USA-ban. Akkor az IT-megoldásszállító SolarWinds szoftverének frissítésébe rejtett károkozóval dolgoztak, és az illetékes amerikai kormányügynökségek azóta már hivatalosan is Oroszországból származtatja a támadást. Annak pontos méretét és hatásait azóta is egyre komolyabbra becsülik, legutóbb éppen a Microsoft osztott meg vele kapcsolatban érdekes részleteket.

Nem először jártak a franciáknál sem

A franciák esetében a hekkerek olyan Centreon-rendszereket céloztak, amelyek folyamatosan az internetre kapcsolódva működtek. Arról még nem közöltek semmit, hogy a behatolók valamilyen szoftveres sérülékenységet használtak ki, vagy más módon megszerzett hozzáféréseket alkalmaztak az adminisztrátori jogosultságokkal való belépésekhez. A lényeg azonban az, hogy egy web shell malware és a már korábban is ismert Exaramel kártevő telepítésével hátsó kapukat hoztak létre, ezek révén pedig teljes irányítást szereztek a rendszerekben és a hozzájuk tartozó hálózatokban.

Az ANSSI a rendelkezésére álló információ alapján ugyancsak az orosz Sandworm APT-t sejti a támadások mögött (Advanced Persistent Threat - fejlett perzisztens fenyegetés), amit már korábban is kapcsolatba hoztak a GRU, vagyis az orosz hadsereg katonai hírszerző szolgálatának egyik egységével. A csoport neve felmerült a 2015-16-ban Ukrajnában vagy a 2018-as téli olimpián végrehajtott kiberámadások során, a NotPetya ransomware 2017-es terjedésekor, vagy 2019-ben a grúziai weboldalakat tömegesen megbénító akciókban.

Ahogy a ZDnet riportjából is kiderül, a Sandworm neve Franciaországról szólva sem először bukkan fel, miután őket feltételezték az Emmanuel Macron francia elnök REM politikai pártját célzó spear phishing kampányok, illetve a velük összefüggő, bizalmas információk kiszivárogtatására törekvő hack-and-leak műveletek mögött is.

Az ANSSI jelentésben a francia és a nemzetközi szervezeteket is arra szólatja fel, hogy halladéktalanul vizsgálják meg Centrion-telepítéseiket, különös tekintettel a most felfedezett malware-ek jelenlétére utaló terhelésekre. A Centreon egyelőre nem adott ki hivatalos nyilatkozatot. Ahogy időközben a Twitteren több biztonsági szakértő is jelezte, a Centreon és a SolarWinds Orion alkalmazásainak hasonlósága ellenére is meghatározó különbség a támadások között, hogy az előbbi az internetre csatlakozó rendszerek elleni opportunista támadásnak tűnik, míg az utóbbi az ellátási láncot érintő támadás (supply chain attack) volt.

Biztonság

Jól vizsgázott üzletfolytonosságból az ukrán techszektor

Az orosz támadás megindulásakor Harkivban 511 informatikai cég volt. Közülük 500 ma is működik, pedig a munkatársak többsége elköltözött a harcokat közvetlen közelről megszenvedő városból.
 
Az alábbiakban körbejárjuk az Enterprise Service Management fogalmát, és megmutatjuk azt is, miben különbözik az ITSM-től.

a melléklet támogatója a Meta-Inf Kft.

CIO KUTATÁS

TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?

Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »

Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!

LÁSSUNK NEKI!

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.