هجوم سيبراني يستغل Centreon لاستهداف كيانات فرنسية
وقالت وكالة أمن المعلومات الفرنسية أنسسي في أواخر عام 2017 واستمرت حتى عام 2020 ، حيث خرقت هجمات مستشعرات الويب في أواخر عام 2017 واستمرت حتى عام 2020 ، حيث كانت الهجمات التي كانت تؤثر بشكل خاص على مزودي مستضيف الويب-إن الهجمات التي خرقت "العديد من الكيانات الفرنسية".
متابعات-ميكسي نيوز
Centreon…تم ربط ممثل التهديد المرتبط بالروسيا التي ترعاها الدولة المعروفة باسم Sandworm بعملية خلسة لمدة ثلاث سنوات لاختراق الأهداف من خلال استغلال أداة مراقبة تكنولوجيا المعلومات تسمى الوسط.
وقالت وكالة أمن المعلومات الفرنسية أنسسي في أواخر عام 2017 واستمرت حتى عام 2020 ، حيث خرقت هجمات مستشعرات الويب في أواخر عام 2017 واستمرت حتى عام 2020 ، حيث كانت الهجمات التي كانت تؤثر بشكل خاص على مزودي مستضيف الويب-إن الهجمات التي خرقت “العديد من الكيانات الفرنسية”.
“على الأنظمة المعرضة للخطر ، اكتشف Anssi وجود الباب الخلفي في شكل Webshell انخفض على عدة خوادم Centreon المعرضة للإنترنت ،” الوكالة قال في يوم الاثنين. “تم التعرف على هذا الباب الخلفي على أنه PAS Webshell ، رقم الإصدار 3.1.4. على نفس الخوادم ، وجد Anssi آخر متطابق مع واحد وصفه ESET و exaramel المسمى.”
يقال إن مجموعة المتسللين الروسية (التي تسمى أيضًا APT28 أو Telebots أو Poodoo Bear أو Iron Viking) كانت وراء بعض الهجمات الإلكترونية الأكثر تدميراً في السنوات الماضية ، بما في ذلك شبكة الطاقة في أوكرانيا في عام 2016 ، وتفشي Notpetya Ransomware لعام 2017 ، و Pyeongchang الشتوية الشتوية في عام 2018.
على الرغم من أن متجه الهجوم الأولي يبدو غير معروف حتى الآن ، إلا أن حل وسط شبكات الضحايا كان مرتبطًا بـ Centreon ، وهو تطبيق ، وبرامج مراقبة الشبكة التي طورتها شركة فرنسية تحمل نفس الاسم.
Centreon ، تأسست في عام 2005 ، التهم Airbus و Air Caraïbes و Arcelormittal و BT و Luxottica و Kuehne + Nagel و Ministère de La Justice Français و New Zealand Police و PwC Russia و Salomon و Sanofi و Sephora بين عملائها. ليس من الواضح عدد المنظمات التي تم خرقها عبر اختراق البرنامج.
وقال Anssi ، إن الخوادم التي تم اختراقها تدير نظام التشغيل CentOS (الإصدار 2.5.2) PASوآخر يعرف باسم exaramel، والتي استخدمتها Sandworm في الهجمات السابقة منذ عام 2018.
يأتي Web Shell مزودًا بميزات للتعامل مع عمليات الملفات ، والبحث في نظام الملفات ، والتفاعل مع قواعد بيانات SQL ، وتنفيذ هجمات كلمة مرور الشحن الغاشمة مقابل SSH و FTP و POP3 و MySQL ، وإنشاء قذيفة عكسية ، وتشغيل أوامر PHP التعسفية.
من ناحية أخرى ، تعمل Exaramel كأداة للإدارة عن بُعد قادرة على تنفيذ أوامر SHELL ونسخ الملفات إلى الخادم الذي يسيطر عليه المهاجم والنظام المصاب. يتواصل أيضًا باستخدام HTTPS مع خادم الأمر والسيطرة (C2) من أجل استرداد قائمة الأوامر التي يتم تشغيلها.
بالإضافة إلى ذلك ، كشف تحقيق ANSSI عن استخدام خدمات VPN الشائعة من أجل الاتصال بقذائف الويب ، مع تداخلات في البنية التحتية C2 التي تربط العملية بالديدان الرملية.
“من المعروف أن مجموعة الرمدة الرملية تؤدي إلى قيادة حملات التسلل قبل التركيز على أهداف محددة تناسب مصالحها الاستراتيجية داخل مجموعة الضحايا” ، كما قال الباحثون. “الحملة التي لاحظها Anssi تناسب هذا السلوك.”
في ضوء هجوم سلسلة Solarwinds ، لا ينبغي أن يكون مفاجئًا أن أنظمة المراقبة مثل Centreon أصبحت هدفًا مربحًا للممثلين السيئين لاكتساب موطئ قدم والتحرك بشكل جانبي عبر بيئات الضحايا. ولكن على عكس حل وسط سلسلة التوريد السابقة ، تختلف الهجمات التي تم الكشف عنها حديثًا من حيث أنها قد تم تنفيذها من خلال الاستفادة من خوادم تواجه الإنترنت التي تعمل على تشغيل برنامج Centreon داخل شبكات الضحايا.
وحذر أنسسي: “لذلك يوصى بتحديث التطبيقات بمجرد إصدار نقاط الضعف العامة وتصحيح التصحيحات التصحيحية”. “من المستحسن إما عدم فضح واجهات الويب لهذه الأدوات إلى الإنترنت () أو تقييد هذا الوصول باستخدام المصادقة غير التعقيدية.”
في أكتوبر 2020 ، اتهمت حكومة الولايات المتحدة رسميًا ستة من الضباط العسكريين الروس لمشاركتهم في هجمات البرامج الضارة المدمرة التي تنشرها هذه المجموعة ، بالإضافة إلى ربط ممثل Sandworm بالوحدة 74455 من مديرية المخابرات الرئيسية الروسية (GRU) ، وهي جزء من وكالة الاستخبارات العسكرية في الجيش الروسي.
تحديث
شركة البرمجيات الفرنسية Centreon يوم الثلاثاء صادر توضيح بعد نشر تقرير Anssi ، يوضح أن أيًا من عملائها لم يتأثر في حملة القرصنة التي تم العثور عليها لضرب كيانات الأعمال التي تدير برنامج مراقبة الشبكات.
“الحملة التي وصفها Anssi تتعلق حصريًا بإصدارات عفا عليها الزمن من برنامج المصادر المفتوحة لـ Centreon” ، والتي قالت إنها لم تعد مدعومة بنشاط لمدة خمس سنوات ، مضيفًا “كان حوالي خمسة عشر كيانًا هو هدف هذه الحملة.
وقال أنسي ، في تحليله ، إن الهجمات استهدفت على وجه التحديد شركات استضافة الويب.
إلى جانب حث المستخدمين على برنامجها الذي عفا عليه الزمن على التحديث إلى أحدث إصدار ، جعلت Centreon أيضًا نقطة التأكيد على أن الحملة ليست هجومًا من نوع سلسلة التوريد وأنه “لا يمكن تقديم هجمات أخرى من هذا النوع في هذه الحالة.”
