行業(yè)動態(tài)

法國ANSSI:俄黑客對Centreon服務(wù)器展開了持續(xù)多年的攻擊

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2021-02-18    瀏覽次數(shù):
 

信息來源:Cnbeta

法國 ANSSI 在近日的一份報告中指出,名為 Sandworm 的俄方黑客組織,對該國 IT 公司 Centreon 的服務(wù)器展開了持續(xù)三年的 APT 攻擊。由該國情報系統(tǒng)發(fā)布的技術(shù)報告詳情可知,在此期間,黑客破壞了多個運(yùn)行 Centreon IT 監(jiān)控軟件的法國實體的內(nèi)部網(wǎng)絡(luò)。


1.jpg

(圖自:Centreon)

ANSSI 官員表示,Sandworm 攻擊主要針對信息技術(shù)提供商,尤其是 Web 托管服務(wù)商。第一位受害者可以追溯到 2017 年末,且黑客活動持續(xù)到了 2020 年。

據(jù)悉,受害者的網(wǎng)絡(luò)都連接到了 Centreon 。作為法國 CENTREON 公司開發(fā)的 IT 資源監(jiān)視平臺,其功能類似于 SolarWinds 的 Orion 平臺。

4.png

(圖自:ANSSI | PDF)

ANSSI 表示,攻擊者盯上了連接至互聯(lián)網(wǎng)的 Centreon 中間系統(tǒng)。至于 Sandworm 是否利用了軟件中的漏洞、或者得到了管理員賬戶的登錄憑證,目前暫不得而知。

在入侵得逞后,攻擊者安裝了某個版本的 PAS Web Shell 和 Exaramel 后門木馬。在這兩款惡意軟件的配合下,黑客得意完全控制受感染的系統(tǒng)、及其相鄰網(wǎng)絡(luò)。

2.png

考慮到攻擊者采取了相當(dāng)罕見的步驟,ANSSI 將此事與 Snadworm 的高級持續(xù)威脅(APT)行動相關(guān)聯(lián)。

2020 年 10 月,美國司法部指控六名俄方官員參與了該組織精心策劃的網(wǎng)絡(luò)攻擊,并指向了俄羅斯 GRU 情報機(jī)構(gòu)的  74455 網(wǎng)絡(luò)部隊。

3.png

據(jù)說該組織先前的行動,包括 2015 ~ 2016 年影響烏克蘭全境的電網(wǎng)崩潰、2017 年的 NotPetya 勒索軟件爆發(fā)、2018 年的平昌冬奧會開幕式攻擊、以及 2019 年的格魯吉亞大規(guī)模網(wǎng)站毀壞。

在今日的報告中,ANSSI 還警告并敦促法國和國際組織檢查其 Centreon 安裝包中是否存在兩種 PAS 和 Exaramel 惡意軟件。若有檢出,則表明企業(yè)在過去幾年遭到過 Sandworm 攻擊。


 
 

上一篇:Data.2021.01.12.004219

下一篇:安全公司Proofpoint起訴Facebook 以獲得近似域名的使用許可