Франция связывает российских песчаных червей с многолетним пиратством

Российская армия Хакеры, известные как Sandworm, ответственные за все, от отключения электричества в Украине до NotPetya, самого разрушительного вредоносного ПО в истории, не заслужили репутации. Но французское агентство безопасности теперь предупреждает, что хакеры с инструментами и технологиями, связывающими его с Sandworm, взломали скрытые цели в этой стране, используя инструмент ИТ-наблюдения под названием Centeron – и, похоже, они скрывались от них незамеченными в течение трех лет.

В понедельник французское агентство информационной безопасности ANSSI опубликовало предупреждение о том, что хакеры, связанные с Sandworm, группой в составе российской военной разведки ГРУ, взломали несколько французских организаций. Агентство описывает этих жертв как «в основном» ИТ-компании, особенно компании веб-хостинга. Примечательно, что ANSSI сообщает, что хакерская кампания началась с конца 2017 года и продолжалась до 2020 года. В этих взломах хакеры, по-видимому, взломали серверы, на которых работает Centeron, который продается одноименной компанией из Парижа.

Хотя ANSSI заявляет, что не может определить, как эти серверы были взломаны, оно обнаружило на них два разных вредоносных ПО: одно общедоступно под названием PAS, а другое известно как Exaramel. Словацкая компания ESET, занимающаяся кибербезопасностью, обнаружила использование песчаных червей в предыдущих взломах. В то время как хакерские группы повторно используют вредоносное ПО друг для друга – иногда с целью ввести следователей в заблуждение, – французское агентство также заявляет, что имело место вмешательство в работу командных серверов, используемых в хакерской кампании Centeron и предыдущих хакерских инцидентах Sandworm.

Хотя неясно, что пираты песчаных червей могут иметь в виду в многолетней французской хакерской кампании, любое проникновение песчаных червей вызывает опасения у тех, кто видел результаты предыдущей работы группы. «Sandworm связан с разрушительными операциями», – говорит Джо Словик, исследователь из охранной фирмы DomainTools, который отслеживал действия Sandworm в течение многих лет, в том числе атаку на украинскую энергосистему, где появился ранний вариант Exaramel Backdoor Sandworm. «Несмотря на то, что французские власти не зафиксировали никакого известного финала, связанного с этой кампанией, тот факт, что он произошел, вызывает тревогу, потому что конечная цель большинства операций с песчаными червями – оказать заметный разрушительный эффект. Мы должны обращать внимание».

READ  Все фильмы Warner Bros. 2021 выйдет сразу в цифрах - и «Дюна», и Mortal Kombat - Игромания

ANSSI не выявило жертв пиратской кампании. Но страница с сайта Центерона Списки клиентов Включая поставщиков телекоммуникационных услуг Orange и OptiComm, консалтинговую компанию в области ИТ CGI, оборонно-космическую корпорацию Thales, металлургическую и горнодобывающую компанию ArcelorMittal, Airbus, Air France KLM, логистическую компанию Kuehne + Nagel, компанию EDF по ядерной энергии и министерство юстиции Франции. Неясно, есть ли у кого-либо из этих клиентов серверы с Centeron, подключенные к Интернету.

«На данном этапе не было доказано, что выявленная уязвимость безопасности относится к коммерческой версии, предоставленной Centeron в течение рассматриваемого периода», – говорится в сообщении Centron, отправленном по электронной почте, и добавлено, что она регулярно выпускает обновления безопасности. «На данном этапе, через несколько минут после публикации документа ANSSI, мы не в состоянии определить, были ли уязвимости, указанные ANSSI, подвергнуты одному из этих исправлений». ANSSI отказался от комментариев после первоначальной консультации.

Некоторые представители индустрии кибербезопасности сразу же интерпретировали отчет ANSSI как ссылку на другую атаку на цепочку поставок программного обеспечения, подобную той, которая была проведена против SolarWinds. В ходе крупномасштабной хакерской кампании, разоблаченной в конце прошлого года, российские хакеры изменили приложение компании для наблюдения за ИТ и использовали его для проникновения в неизвестное количество сетей, в которые входило не менее шести федеральных агентств США.

Но отчет ANSSI не указывает на компромисс в цепочке поставок, и Словик из DomainTools говорит, что взломы, по всей видимости, были совершены просто путем использования серверов с выходом в Интернет, на которых запущено программное обеспечение Centeron в сетях жертв. Он предполагает, что это будет соответствовать другому предупреждению о Sandworm, опубликованному АНБ в мае прошлого года: ЦРУ предупредило, что Sandworm проникает в устройства с выходом в Интернет, на которых работает почтовый клиент Exim, который работает на серверах Linux. Учитывая, что Centeron работает на CentOS, которая также основана на Linux, два текста указывают на аналогичное поведение в течение одного и того же периода времени. «Эти две кампании использовались параллельно, в течение некоторого одного и того же периода времени, для выявления уязвимых внешних серверов, на которых был запущен Linux для первоначального доступа или навигации в сетях жертв», – говорит Словик. (В отличие от Sandworm, который был широко идентифицирован как часть ГРУ, атаки SolarWinds не были окончательно связаны с каким-либо конкретным разведывательным агентством, хотя охранные компании и разведывательное сообщество США приписывают хакерскую кампанию правительству России.)

READ  Обратите внимание на местные выборы в Кыргызстане - дипломат

Maksim Antonov

Повсюду друзья животных. Злой фанат твиттера. Проповедник поп-культуры. Интроверт

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Наверх