El proveedor de software Centreon hackeado en una campaña prolongada por el APT Sandworm

[post-views]
febrero 19, 2021 · 5 min de lectura
El proveedor de software Centreon hackeado en una campaña prolongada por el APT Sandworm

La Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI) reveló una operación de tres años de duración lanzada por Sandworm APT contra importantes proveedores de TI y alojamiento web en Francia. El aviso de ANSSI detalla que la campaña comenzó en 2017 y resultó en una serie de incumplimientos posteriores, incluyendo el compromiso de Centreon, una empresa de software de monitoreo cuyas productos son ampliamente adoptados por instituciones gubernamentales francesas.

Resumen del Ataque a Centreon

Según ANSSI, los hackers de Sandworm penetraron en los servidores de Centreon expuestos a Internet. A pesar de que el método inicial de intrusión sigue siendo desconocido, los investigadores señalan que los adversarios podrían haber explotado una vulnerabilidad en los productos de Centreon o robado credenciales para cuentas administrativas.

La filtración de Centreon sirvió como punto de entrada para que los actores de amenazas les permitieran hackear otras entidades francesas e instalar malware de puerta trasera en sus redes. Los expertos en seguridad informan que todas las empresas comprometidas durante la campaña Sandworm ejecutaron el sistema operativo CentOS en sus servidores.

Aunque el software de Centreon es similar a los productos de SolarWinds Orion, y la intrusión de Sandworm tiene mucho en común con el infame ataque a la cadena de suministro de SolarWinds, los funcionarios de Centreon afirman que ninguno de sus usuarios se vio afectado durante la campaña de Sandworm. Todas las organizaciones afectadas utilizaron una versión de código abierto heredada (v2.5.2) del software lanzado en 2016, que ya no es compatible con el proveedor. Además, la declaración de Centreon aclara que el incidente de seguridad no fue un ataque a la cadena de suministro porque los hackers de Sandworm nunca usaron la infraestructura de TI de la compañía para enviar actualizaciones maliciosas a sus clientes.

P.A.S Webshell y Exaramel Backdoor

Los servidores de Centreon comprometidos analizados por ANSSI revelaron la presencia de dos muestras de malware identificadas como P.A.S web shell y Exaramel backdoor. Ambas cepas maliciosas han sido utilizadas por actores de amenazas para el reconocimiento encubierto.

Según los investigadores, los hackers de Sandworm utilizaron P.A.S (Fobushell) web shell versión 3.1.4 para atacar a sus víctimas. Esta cepa maliciosa fue desarrollada por un estudiante ucraniano y ampliamente adoptada por diferentes actores de amenazas en sus operaciones. Por ejemplo, P.A.S web shell ha sido utilizada en múltiples ataques contra sitios de WordPress y utilizada en la actividad maliciosa de hackers vinculados a Rusia con el objetivo de interferir en las elecciones de EE. UU. de 2016. La impresionante funcionalidad del malware permite a los hackers listar, modificar, crear o subir archivos; interactuar con bases de datos SQL; buscar elementos específicos dentro del host comprometido; crear una shell de enlace con un puerto de escucha; crear una shell inversa con una dirección distante como parámetro; buscar puertos abiertos y servicios de escucha en la máquina; realizar ataques de fuerza bruta; recopilar datos sobre el sistema comprometido, y más.

Otra muestra maliciosa utilizada por los hackers de Sandworm es Exaramel backdoor. Inicialmente fue reportada por ESET en 2018, con dos variantes existentes identificadas. Una variante está diseñada para dirigirse a usuarios de Windows, y la otra se utiliza exclusivamente para sistemas Linux. En la operación maliciosa actual, los actores de amenazas de Sandworm confiaron en la versión de Linux del backdoor para realizar vigilancia encubierta contra sus víctimas. Exaramel es una herramienta de administración remota escrita en Go. El malware puede comunicarse con el servidor de comando y control (C&C) de los atacantes a través de HTTPS y realizar varias tareas establecidas por sus operadores. Específicamente, Exaramel es capaz de autodestruirse, autoactualizarse, subir y modificar archivos, ejecutar comandos shell y compilar informes.

Rastros a los Hackers de Sandworm

El grupo APT Sandworm patrocinado por el estado ruso (también conocido como BlackEnergy, Quedagh, Voodoo Bear, Iron Viking, Telebots), que se cree que es una unidad militar del GRU, ha estado activo al menos desde 2009. Los actores de amenazas de Sandworm estuvieron involucrados en muchas operaciones de hacking importantes llevadas a cabo en nombre del gobierno de Moscú. Por ejemplo, en 2015-2016, Sandworm lanzó una serie de ataques cibernéticos destructivos contra la red eléctrica ucraniana. En 2017, el grupo estuvo detrás de la campaña histórica NotPetya. Simultáneamente, en 2017 Sandworm inició una serie de ataques de spear-phishing contra entidades gubernamentales locales, partidos políticos y campañas en Francia, incluidas aquellas conectadas con el presidente francés Emmanuel Macron. Además, en 2018 este actor fue visto lanzando un conjunto de ataques cibernéticos destinados a interrumpir los Juegos Olímpicos de Invierno.

As reportada por Costin Raiu, Director del Global Research and Analysis Team (GReAT) en Kaspersky Lab, Sandworm es el único grupo identificado para implementar Exaramel backdoor en sus operaciones maliciosas, lo que indica directamente que el APT ruso está detrás del hackeo de Centreon.

Detección del Ataque

Para identificar y reaccionar proactivamente a la actividad maliciosa asociada con el backdoor Exaramel, puede descargar una regla Sigma dedicada del equipo de SOC Prime:

https://tdm.socprime.com/tdm/info/eOaZhPfB6DRz/5v5Sq3cBR-lx4sDxOtA2/#rule-context

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

MITRE ATT&CK:

Tácticas: Acceso Inicial

Técnicas: Explotar Aplicaciones de Exposición Pública (T1190)

Actor: Equipo de Sandworm

Suscríbete al Mercado de Detección de Amenazas y accede a una biblioteca de contenido SOC curada de más de 90,000 que incluye reglas, analizadores y consultas de búsqueda, reglas Sigma y YARA-L fácilmente convertibles a varios formatos y alineadas con la matriz MITRE ATT&CK. ¿Quieres desarrollar tus propias reglas Sigma?? Únete a nuestro Programa de Recompensas de Amenazas y obtén recompensas por tu aporte!

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Blog, Últimas Amenazas — 4 min de lectura
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Veronika Telychko
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Blog, Últimas Amenazas — 5 min de lectura
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Veronika Telychko