L'ANSSI a révélé des détails sur une campagne d'intrusion visant les sociétés de services informatiques qui exploitent l'outil de surveillance des ressources informatiques Centreon. Les attaques seraient restées sous le radar jusqu'à trois ans et auraient principalement touché des hébergeurs web basés en France.
« L’ANSSI a constaté sur les systèmes compromis l’existence d’une porte dérobée de type webshell, déposée sur plusieurs serveurs Centreon exposés sur internet. Cette porte dérobée a été identifiée comme étant le webshell P.A.S. dans sa version 3.1.4. Sur ces mêmes systèmes, l’ANSSI a identifié la présence d’une autre porte dérobée nommée Exaramel par l’éditeur ESET. Cette campagne présente de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm. », souligne l’agence.
En effet, cette dernière a été découverte et analysée par les chercheurs d'ESET en 2018. Alors qu'il s'agissait d'une mise à jour de la porte dérobée qui se trouvait au cœur d'Industroyer, qui a causé un black-out d'une heure dans et autour de la capitale ukrainienne, Kiev, fin 2016, ESET a détecté Exaramel dans une organisation qui n'est pas une installation industrielle. Exaramel et Industroyer sont tous deux l'œuvre du groupe APT TeleBots (alias Sandworm), qui a également déclenché une attaque NotPetya (alias DiskCoder.C) déguisé en rançongiciel, en 2017. TeleBots est le descendant de BlackEnergy, un groupe dont le logiciel malveillant éponyme est responsable d'une panne de courant qui a touché un quart de million de foyers en Ukraine vers la fin de 2015.
Selon l'ANSSI, le vecteur d'attaque initial et l'objectif de la campagne contre les entreprises qui dirigent Centreon ne sont pas clairs. Bien que de nature différente, les attaques ont immédiatement fait craindre que les incursions soient potentiellement aussi dommageables que le piratage de SolarWinds.
Obsolète et non corrigé
Soon after the news broke, Centreon, the developer behind the eponymous monitoring tool, threw new light on the issue. The company stressed that the threat actor infiltrated 15 “entities”, but none from the ranks of its numerous customers, a list of which includes many blue-chip companies.
Peu après l'annonce de la nouvelle, Centreon, le développeur de l'outil de surveillance éponyme, a jeté un nouvel éclairage sur la question. La société a souligné que l'acteur de la menace avait infiltré 15 « entités », mais aucune dans les rangs de ses nombreux clients, dont la liste comprend de nombreuses sociétés de premier ordre.
Il est important de noter que la campagne visait les versions du logiciel de Centreon qui sont en fin de vie depuis cinq ans et qui étaient utilisées par des développeurs de logiciels libres, a déclaré la société. De plus, contrairement aux recommandations de l'entreprise, les interfaces web des outils ont été exposées à l'internet.
La société a nié qu'il s'agissait d'un exemple d'attaque de la chaîne d'approvisionnement et a recommandé que tous les utilisateurs qui utilisent encore l'une des versions obsolètes de l'outil se mettent à jour vers une version plus récente et prise en charge.