Fornitore di Software Centreon Compromesso in una Campagna di Lunga Durata da Sandworm APT
Indice:
L’Agenzia Nazionale Francese per la Sicurezza dei Sistemi Informativi (ANSSI) ha rivelato un’operazione triennale lanciata da Sandworm APT contro i principali fornitori di servizi IT e di web hosting in Francia. L’advisory di ANSSI dettaglia che la campagna è iniziata nel 2017 e ha portato a una serie di violazioni successive, inclusa la compromissione di Centreon, una società di software di monitoraggio che ha i suoi prodotti largamente adottati dalle istituzioni governative francesi.
Riepilogo dell’attacco a Centreon
Secondo ANSSI, gli hacker di Sandworm hanno penetrato i server di Centreon esposti a Internet. Nonostante il metodo iniziale di intrusione rimanga sconosciuto, i ricercatori notano che gli avversari potrebbero aver sfruttato una vulnerabilità nei prodotti Centreon o rubato credenziali per account amministrativi.
La violazione di Centreon è servita come punto di ingresso per gli attori delle minacce, consentendo loro di hackerare altre entità francesi e installare malware backdoor nelle loro reti. Gli esperti di sicurezza segnalano che tutte le aziende compromesse durante la campagna di Sandworm eseguivano il sistema operativo CentOS sui loro server.
Sebbene il software Centreon sia simile ai prodotti SolarWinds Orion e l’intrusione di Sandworm abbia molto in comune con il famigerato attacco alla catena di fornitura di SolarWinds, i funzionari di Centreon affermano che nessuno dei suoi utenti è stato colpito durante la campagna di Sandworm. Tutte le organizzazioni colpite utilizzavano una versione open source legacy (v2.5.2) del software rilasciata nel 2016, che non è più supportata dal fornitore. Inoltre, la dichiarazione di Centreon chiarisce che l’incidente di sicurezza non è stato un attacco alla catena di fornitura perché gli hacker di Sandworm non hanno mai utilizzato l’infrastruttura IT dell’azienda per spingere aggiornamenti dannosi ai suoi clienti.
P.A.S Webshell e Exaramel Backdoor
I server compromessi di Centreon analizzati da ANSSI hanno rivelato la presenza di due campioni di malware identificati come P.A.S web shell e Exaramel backdoor. Entrambe le macchie malevole sono state utilizzate da attori delle minacce per la ricognizione segreta.
Secondo i ricercatori, gli hacker di Sandworm hanno utilizzato la versione 3.1.4 del P.A.S (Fobushell) web shell per attaccare le loro vittime. Questo ceppo dannoso è stato sviluppato da uno studente ucraino ed è ampiamente adottato da diversi attori delle minacce nelle loro operazioni. Ad esempio, il P.A.S web shell è stato sfruttato in molteplici attacchi contro siti WordPress ed è stato utilizzato nell’attività dannosa di hacker collegati alla Russia volta a interferire con le elezioni statunitensi del 2016. Le impressionanti funzionalità del malware consentono agli hacker di elencare, modificare, creare o caricare file; interagire con i database SQL; cercare elementi specifici all’interno dell’host compromesso; creare una bind shell con una porta in ascolto; creare una reverse shell con un indirizzo distante come parametro; cercare porte aperte e servizi in ascolto sulla macchina; eseguire attacchi di forza bruta; raccogliere dati sul sistema compromesso, e altro.
Un altro campione malevolo utilizzato dagli hacker di Sandworm è Exaramel backdoor. È stato inizialmente segnalato da ESET nel 2018, con due varianti esistenti identificate. Una variante è progettata per colpire gli utenti Windows e l’altra è utilizzata esclusivamente per i sistemi Linux. Nella corrente operazione dannosa, gli attori della minaccia Sandworm si sono affidati alla versione Linux del backdoor per eseguire sorveglianza nascosta contro le loro vittime. Exaramel è uno strumento di amministrazione remota scritto in Go. Il malware può comunicare con il server di comando e controllo (C&C) degli attaccanti tramite HTTPS ed eseguire vari compiti impostati dai suoi operatori. In particolare, Exaramel è in grado di auto-eliminarsi, auto-aggiornarsi, caricare e modificare file, eseguire comandi shell e compilare rapporti.
Tracce agli Hacker di Sandworm
Il gruppo APT Sandworm sponsorizzato dallo stato russo (noto anche come BlackEnergy, Quedagh, Voodoo Bear, Iron Viking, Telebots), che si ritiene essere un’unità militare del GRU, è attivo almeno dal 2009. Gli attori della minaccia Sandworm sono stati coinvolti in molte operazioni di hacking importanti condotte per conto del governo di Mosca. Ad esempio, nel 2015-2016, Sandworm ha lanciato una serie di cyber-attacchi distruttivi contro la rete elettrica ucraina. Nel 2017 il gruppo è stato dietro alla campagna NotPetya epocale. Contemporaneamente, nel 2017 Sandworm ha avviato una serie di attacchi di spear-phishing contro entità governative locali, partiti politici e campagne in Francia, inclusi quelli collegati al Presidente francese Emmanuel Macron. Inoltre, nel 2018 questo attore è stato avvistato lanciare una serie di cyber-attacchi volti a interrompere le Olimpiadi invernali.
As segnalato da Costin Raiu, Direttore del Global Research and Analysis Team (GReAT) presso Kaspersky Lab, Sandworm è l’unico gruppo identificato ad aver distribuito Exaramel backdoor nelle sue operazioni malevole, il che fornisce un’indicazione diretta che l’APT russo sia dietro l’hack di Centreon.
Rilevamento dell’Attacco
Per identificare e reagire proattivamente all’attività malevola associata al backdoor Exaramel, si può scaricare una regola Sigma dedicata dal Team di SOC Prime:
https://tdm.socprime.com/tdm/info/eOaZhPfB6DRz/5v5Sq3cBR-lx4sDxOtA2/#rule-context
La regola è tradotta per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Tattiche: Accesso Iniziale
Tecniche: Sfruttamento delle Applicazioni Accessibili Pubblicamente (T1190)
Autore: Team Sandworm
Iscriviti al Threat Detection Marketplace e raggiungi una libreria di contenuti SOC curata composta da oltre 90.000 elementi che include regole, parser e query di ricerca, regole Sigma e YARA-L facilmente convertibili in vari formati e allineati con la matrice MITRE ATT&CK. Vuoi sviluppare le tue regole Sigma? Unisciti al nostro Threat Bounty Program e ottieni una ricompensa per il tuo contributo!
