Le fournisseur de logiciels Centreon piraté lors d’une campagne de longue durée par le groupe APT Sandworm
Table des matières :
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a révélé une opération de trois ans lancée par Sandworm APT contre d’importants fournisseurs de services informatiques et d’hébergement web en France. Le rapport de l’ANSSI détaille que la campagne a débuté en 2017 et a entraîné une série de compromissions successives, y compris le compromis de Centreon, une entreprise de logiciels de surveillance dont les produits sont largement adoptés par les institutions gouvernementales françaises.
Résumé de l’attaque Centreon
Selon l’ANSSI, les hackers de Sandworm ont pénétré dans les serveurs de Centreon exposés à Internet. Bien que la méthode initiale d’intrusion reste inconnue, les chercheurs notent que les adversaires pourraient avoir exploité une vulnérabilité dans les produits Centreon ou volé des identifiants pour les comptes administratifs.
La brèche de Centreon a servi de point d’entrée pour les acteurs de la menace, leur permettant de pirater d’autres entités françaises et de planter des portes dérobées sur leurs réseaux. Les experts en sécurité rapportent que toutes les entreprises compromises pendant la campagne Sandworm utilisaient le système d’exploitation CentOS sur leurs serveurs.
Bien que le logiciel Centreon soit similaire aux produits SolarWinds Orion, et que l’intrusion Sandworm ait beaucoup en commun avec la fameuse attaque par la chaîne d’approvisionnement de SolarWinds, les responsables de Centreon affirment qu’aucun de ses utilisateurs n’a été impacté pendant la campagne Sandworm. Toutes les organisations affectées utilisaient une version open source ancienne (v2.5.2) du logiciel publiée en 2016, qui n’est plus supportée par l’éditeur. De plus, la déclaration de Centreon précise que l’incident de sécurité n’était pas une attaque par la chaîne d’approvisionnement car les hackers de Sandworm n’ont jamais utilisé l’infrastructure informatique de l’entreprise pour pousser des mises à jour malveillantes à ses clients.
Webshell P.A.S et porte dérobée Exaramel
Les serveurs de Centreon compromis analysés par l’ANSSI ont révélé la présence de deux échantillons de logiciels malveillants identifiés comme P.A.S web shell et porte dérobée Exaramel. Les deux souches malveillantes ont été utilisées par les acteurs de la menace pour la reconnaissance furtive.
Selon les chercheurs, les hackers de Sandworm ont utilisé la version 3.1.4 du P.A.S (Fobushell) web shell pour attaquer leurs victimes. Cette souche malveillante a été développée par un étudiant ukrainien et largement adoptée par différents acteurs de la menace dans leurs opérations. Par exemple, le web shell P.A.S a été exploité dans de multiples attaques contre des sites WordPress et utilisé dans l’activité malveillante de hackers liés à la Russie visant à interférer avec les élections américaines de 2016. L’impressionnante fonctionnalité du logiciel malveillant permet aux hackers de lister, modifier, créer ou télécharger des fichiers ; interagir avec des bases de données SQL ; rechercher des éléments spécifiques dans l’hôte compromis ; créer un shell de liaison avec un port d’écoute ; créer un shell inversé avec une adresse distante en paramètre ; rechercher des ports ouverts et des services actifs sur la machine ; effectuer des attaques par force brute ; rassembler des données sur le système compromis, et plus encore.
Un autre échantillon malveillant utilisé par les hackers de Sandworm est la porte dérobée Exaramel. Elle a initialement été rapportée par ESET en 2018, avec deux variantes existantes identifiées. Une variante est conçue pour cibler les utilisateurs Windows, et l’autre est utilisée exclusivement pour les systèmes Linux. Dans la présente opération malveillante, les acteurs de menace Sandworm se sont appuyés sur la version Linux de la porte dérobée pour effectuer une surveillance furtive contre leurs victimes. Exaramel est un outil d’administration à distance écrit en Go. Le logiciel malveillant peut communiquer avec le serveur de commande et contrôle (C&C) des attaquants via HTTPS et exécuter diverses tâches définies par ses opérateurs. Plus précisément, Exaramel est capable de s’auto-supprimer, de se mettre à jour, de télécharger et de modifier des fichiers, d’exécuter des commandes shell et de compiler des rapports.
Traces des hackers Sandworm
Le groupe APT Sandworm sponsorisé par l’État russe (aussi connu sous le nom BlackEnergy, Quedagh, Voodoo Bear, Iron Viking, Telebots), qui serait une unité militaire du GRU, est actif depuis au moins 2009. Les acteurs de menace Sandworm ont été impliqués dans de nombreuses opérations de piratage majeures menées au nom du gouvernement de Moscou. Par exemple, en 2015-2016, Sandworm a lancé une série de cyber-attaques destructrices contre le réseau électrique ukrainien. En 2017, le groupe était derrière la campagne marquante NotPetya. Simultanément, en 2017, Sandworm a initié une série d’attaques par hameçonnage ciblé contre des entités gouvernementales locales, des partis politiques et des campagnes en France, y compris celles connectées avec le président français Emmanuel Macron. De plus, en 2018, cet acteur a été aperçu en lançant un ensemble de cyber-attaques visant à perturber les Jeux Olympiques d’hiver.
As rapportée selon Costin Raiu, Directeur de l’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky Lab, Sandworm est le seul groupe identifié à déployer la porte dérobée Exaramel dans ses opérations malveillantes, ce qui donne une indication directe que l’APT russe est derrière le piratage de Centreon.
Détection de l’attaque
Pour identifier et réagir de manière proactive à l’activité malveillante associée à la porte dérobée Exaramel, vous pouvez télécharger une règle Sigma dédiée de l’équipe SOC Prime:
https://tdm.socprime.com/tdm/info/eOaZhPfB6DRz/5v5Sq3cBR-lx4sDxOtA2/#rule-context
La règle a des traductions pour les plateformes suivantes:
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR : Carbon Black
MITRE ATT&CK:
Tactiques : Accès initial
Techniques : Exploiter des applications exposées à Internet (T1190)
Acteur : Équipe Sandworm
Abonnez-vous au Marché de Détection des Menaces et accédez à une bibliothèque de contenu SOC de plus de 90,000 éléments organisés comprenant des règles, des analyseurs et des requêtes de recherche, des règles Sigma et YARA-L facilement convertibles en divers formats et alignées sur la matrice MITRE ATT&CK. Vous voulez développer vos propres règles Sigma? Rejoignez notre Programme de Récompense de Menaces et soyez récompensé pour votre contribution !
