Vendedor de Software Centreon Hackeado em uma Campanha Duradoura pelo Sandworm APT
Índice:
A Agência Nacional Francesa para a Segurança dos Sistemas de Informação (ANSSI) revelou uma operação de três anos lançada pelo Sandworm APT contra importantes fornecedores de TI e hospedagem web na França. O comunicado da ANSSI detalha que a campanha começou em 2017 e resultou em uma série de invasões subsequentes, incluindo o comprometimento da Centreon, uma empresa de software de monitoramento cujos produtos são amplamente adotados por instituições governamentais francesas.
Resumo do Ataque ao Centreon
De acordo com a ANSSI, hackers do Sandworm penetraram nos servidores Centreon expostos à Internet. Apesar do método inicial de intrusão ainda ser desconhecido, os pesquisadores observam que os adversários podem ter explorado uma vulnerabilidade nos produtos Centreon ou roubado credenciais de contas administrativas.
A violação do Centreon serviu como um ponto de entrada para os atores da ameaça, permitindo-lhes invadir outras entidades francesas e instalar malware de backdoor em suas redes. Especialistas em segurança relatam que todas as empresas comprometidas durante a campanha Sandworm executavam o sistema operacional CentOS em seus servidores.
Embora o software Centreon seja semelhante aos produtos SolarWinds Orion, e a intrusão do Sandworm tenha muito em comum com o infame ataque à cadeia de suprimentos da SolarWinds, os oficiais do Centreon afirmam que nenhum de seus usuários foi impactado durante a campanha Sandworm. Todas as organizações afetadas usaram uma versão open source legada (v2.5.2) do software lançada em 2016, que não é mais suportada pelo fornecedor. Além disso, a declaração do Centreon esclarece que o incidente de segurança não foi um ataque à cadeia de suprimentos porque os hackers do Sandworm nunca usaram a infraestrutura de TI da empresa para enviar atualizações maliciosas para seus clientes.
Webshell P.A.S e Backdoor Exaramel
Os servidores Centreon comprometidos analisados pela ANSSI revelaram a presença de duas amostras de malware identificadas como shell web P.A.S e backdoor Exaramel. Ambas as amostras maliciosas têm sido usadas por atores da ameaça para reconhecimento encoberto.
De acordo com os pesquisadores, os hackers do Sandworm utilizaram a versão 3.1.4 do shell web P.A.S (Fobushell) para atacar suas vítimas. Essa cepa maliciosa foi desenvolvida por um estudante ucraniano e amplamente adotada por diferentes atores da ameaça em suas operações. Por exemplo, o shell web P.A.S foi utilizado em múltiplos ataques contra sites WordPress e usado na atividade maliciosa de hackers ligados à Rússia com o objetivo de interferir nas eleições dos EUA de 2016. A impressionante funcionalidade do malware permite que hackers listem, modifiquem, criem ou façam upload de arquivos; interajam com bancos de dados SQL; procurem elementos específicos dentro do host comprometido; criem shell bind com uma porta de escuta; criem um shell reverso com um endereço distante como parâmetro; procurem por portas abertas e serviços de escuta na máquina; realizem ataques de força bruta; coletem dados sobre o sistema comprometido, entre outros.
Outra amostra maliciosa usada pelos hackers do Sandworm é o backdoor Exaramel. Ele foi inicialmente reportado pela ESET em 2018, com duas variantes existentes identificadas. Uma variante é projetada para atingir usuários do Windows, e a outra é usada exclusivamente para sistemas Linux. Na operação maliciosa atual, os atores da ameaça Sandworm confiaram na versão Linux do backdoor para realizar vigilância encoberta contra suas vítimas. O Exaramel é uma ferramenta de administração remota escrita em Go. O malware pode se comunicar com o servidor de comando e controle (C&C) dos atacantes via HTTPS e realizar várias tarefas definidas por seus operadores. Especificamente, o Exaramel é capaz de auto-excluir-se, auto-atualizar-se, fazer upload e modificar arquivos, executar comandos no shell e compilar relatórios.
Vestígios dos Hackers do Sandworm
O grupo Sandworm APT, patrocinado pelo estado russo (também conhecido como BlackEnergy, Quedagh, Voodoo Bear, Iron Viking, Telebots), que acredita-se ser uma unidade militar da GRU, está ativo desde pelo menos 2009. Os atores da ameaça Sandworm estiveram envolvidos em muitas operações de hack de grande importância conduzidas em nome do governo de Moscou. Por exemplo, em 2015-2016, o Sandworm lançou uma série de cyberataques destrutivos contra a rede elétrica ucraniana. Em 2017, o grupo estava por trás da campanha NotPetya de proporções épicas. Simultaneamente, em 2017, o Sandworm iniciou uma série de ataques de spear-phishing contra entidades governamentais locais, partidos políticos e campanhas na França, incluindo aquelas conectadas ao presidente francês Emmanuel Macron. Além disso, em 2018, esse ator foi visto lançando um conjunto de cyberataques visando interromper os Jogos Olímpicos de Inverno.
As reportado por Costin Raiu, Diretor do Global Research and Analysis Team (GReAT) na Kaspersky Lab, o Sandworm é o único grupo identificado a utilizar o backdoor Exaramel em suas operações maliciosas, o que dá uma indicação direta de que o APT russo está por trás do hack do Centreon.
Detecção de Ataques
Para identificar e reagir proativamente à atividade maliciosa associada ao backdoor Exaramel, você pode baixar uma regra Sigma dedicada da SOC Prime Team:
https://tdm.socprime.com/tdm/info/eOaZhPfB6DRz/5v5Sq3cBR-lx4sDxOtA2/#rule-context
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Táticas: Acesso Inicial
Técnicas: Explorar Aplicações Expostas ao Público (T1190)
Ator: Time Sandworm
Inscreva-se no Threat Detection Marketplace e acesse uma biblioteca de conteúdo SOC selecionada com mais de 90.000 itens que inclui regras, analisadores e consultas de busca, regras Sigma e YARA-L facilmente convertíveis para vários formatos e alinhadas com a matriz MITRE ATT&CK. Quer desenvolver suas próprias regras Sigma ? Junte-se ao nosso Programa de Recompensa por Ameaças e seja recompensado por sua contribuição!
