La Francia lega il Sandworm russo a una follia di hacker pluriennale

L’esercito russo gli hacker noti come Sandworm, responsabili di tutto, dai blackout in Ucraina a NotPetya, il malware più distruttivo della storia, non hanno la reputazione di discrezione. Ma un’agenzia di sicurezza francese ora avverte che gli hacker con strumenti e tecniche che collega a Sandworm hanno hackerato furtivamente obiettivi in ​​quel paese sfruttando uno strumento di monitoraggio IT chiamato Centreon e sembra che siano riusciti a farla franca senza essere rilevati per tre anni.

Lunedì, l’agenzia di sicurezza informatica francese ANSSI ha pubblicato un avviso che avverte che gli hacker con collegamenti a Sandworm, un gruppo all’interno dell’agenzia di intelligence militare russa GRU, avevano violato diverse organizzazioni francesi. L’agenzia descrive quelle vittime come “per lo più” aziende IT e in particolare società di web hosting. Sorprendentemente, ANSSI afferma che la campagna di intrusione risale alla fine del 2017 e continuò fino al 2020. In queste violazioni, gli hacker sembrano aver compromesso i server che eseguono Centreon, venduto dall’omonima azienda con sede a Parigi.

Sebbene ANSSI affermi di non essere stato in grado di identificare come quei server sono stati hackerati, ha trovato su di essi due diversi malware: una backdoor disponibile pubblicamente chiamata PAS e un’altra nota come Exaramel, che La società slovacca di sicurezza informatica ESET ha individuato Sandworm in precedenti intrusioni. Sebbene i gruppi di hacker riutilizzino reciprocamente il malware, a volte intenzionalmente per fuorviare gli investigatori, l’agenzia francese afferma anche di aver visto una sovrapposizione nei server di comando e controllo utilizzati nella campagna di hacking di Centreon e nei precedenti incidenti di hacking di Sandworm.

Sebbene sia tutt’altro che chiaro cosa avrebbero potuto intendere gli hacker di Sandworm nella campagna di hacking francese durata anni, qualsiasi intrusione di Sandworm solleva allarmi tra coloro che hanno visto i risultati del lavoro passato del gruppo. “Sandworm è collegato a operazioni distruttive”, afferma Joe Slowik, un ricercatore della società di sicurezza DomainTools che ha monitorato le attività di Sandworm per anni, incluso un attacco alla rete elettrica ucraina dove è apparsa una prima variante della backdoor Exaramel di Sandworm. “Anche se non esiste un finale di partita noto collegato a questa campagna documentato dalle autorità francesi, il fatto che si sta svolgendo è preoccupante, perché l’obiettivo finale della maggior parte delle operazioni di Sandworm è quello di causare un notevole effetto dirompente. Dovremmo prestare attenzione”.

ANSSI non ha identificato le vittime della campagna di hacking. Ma una pagina del sito web di Centreon elenca i clienti compresi i fornitori di telecomunicazioni Orange e OptiComm, la società di consulenza IT CGI, la società di difesa e aerospaziale Thales, la società siderurgica e mineraria ArcelorMittal, Airbus, Air France KLM, la società di logistica Kuehne + Nagel, la società di energia nucleare EDF e il Dipartimento di giustizia francese. Non è chiaro se qualcuno di quei clienti avesse server che eseguono Centreon esposti a Internet.

“In ogni caso, non è dimostrato in questa fase che la vulnerabilità identificata riguardi una versione commerciale fornita da Centreon nel periodo in questione”, ha affermato Centreon in una dichiarazione inviata tramite posta elettronica, aggiungendo che rilascia regolarmente aggiornamenti di sicurezza. “Non siamo in grado di specificare in questa fase, a pochi minuti dalla pubblicazione del documento ANSSI, se le vulnerabilità segnalate dall’ANSSI siano state oggetto di una di queste patch”. ANSSI ha rifiutato di commentare oltre l’avviso iniziale.

Alcuni nel settore della sicurezza informatica hanno immediatamente interpretato il rapporto ANSSI per suggerire un altro attacco alla catena di fornitura del software del tipo effettuato contro SolarWinds. In una vasta campagna di hacking rivelata alla fine dello scorso anno, gli hacker russi hanno modificato l’applicazione di monitoraggio IT di quella società e questa si è diffusa in un numero ancora sconosciuto di reti che include almeno una mezza dozzina di agenzie federali statunitensi.

Ma il rapporto dell’ANSSI non menziona un compromesso nella catena di approvvigionamento e Slowik di DomainTools afferma che le intrusioni sembrano invece essere state effettuate semplicemente sfruttando i server con connessione Internet che eseguono il software di Centreon all’interno delle reti delle vittime. Sottolinea che questo sarebbe in linea con un altro avvertimento su Sandworm che la NSA ha pubblicato nel maggio dello scorso anno: l’agenzia di intelligence ha avvertito che Sandworm stava hackerando macchine con connessione a Internet che eseguono il client di posta elettronica Exim, che gira su server Linux. Dato che il software di Centreon gira su CentOS, anch’esso basato su Linux, i due avvisi indicano un comportamento simile durante lo stesso periodo di tempo. “Entrambe queste campagne in parallelo, durante lo stesso periodo di tempo, sono state utilizzate per identificare server vulnerabili rivolti verso l’esterno che eseguivano Linux per l’accesso iniziale o lo spostamento all’interno delle reti delle vittime”, afferma Slowik. (A differenza di Sandworm, che è stato ampiamente identificato come parte del GRU, anche gli attacchi di SolarWinds devono ancora essere definitivamente collegati a una specifica agenzia di intelligence, sebbene le società di sicurezza e la comunità dell’intelligence statunitense abbiano attribuito la campagna di hacking al governo russo .)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *