Cyberattaques : Les serveurs de Centreon ont été la cible d’une campagne de trois ans

Spread the love
  • Yum

Cyberattaques : Les serveurs de Centreon ont été la cible d'une campagne de trois ans

Image : Centreon.

L’agence française de cybersécurité affirme qu’un groupe de pirates militaires russes, connu sous le nom Sandworm, est à l’origine d’une opération de trois ans au cours de laquelle ils ont pénétré dans les réseaux internes de plusieurs entités françaises utilisant le logiciel de surveillance informatique Centreon.

Les attaques ont été détaillées dans un rapport technique publié aujourd’hui par l’Agence nationale de la sécurité des systèmes d’information (Anssi).

« Cette campagne a principalement touché des prestataires de services informatiques, notamment d’hébergement web », précise l’Anssi. « Les premières compromissions identifiées par l’ANSSI datent de fin 2017 et se sont poursuivies jusqu’en 2020. »

publicité

Deux souches de logiciels malveillants utilisées

Le point d’entrée dans les réseaux des victimes est lié à Centreon, une plateforme de surveillance des ressources informatiques développée par la société française Centreon – un produit similaire, en termes de fonctionnalités, à la plateforme Orion de SolarWinds.

Selon l’Anssi, les attaquants ont ciblé les systèmes Centreon qui restaient connectés à internet. Au moment où ces lignes étaient écrites, l’agence française n’était pas en mesure de dire si les attaques résultaient de l’exploitation d’une vulnérabilité dans le logiciel de Centreon ou du fait que les attaquants aient trouvé les mots de passe des comptes administrateurs.

En tout cas, lorsqu’ils réussissaient à s’introduire, les attaquants installaient une version du web shell P.A.S. et de la porte dérobée du cheval de Troie Exaramel, deux souches de malwares qui, utilisés ensemble, leur permettaient de contrôler entièrement le système compromis et son réseau adjacent.

sandworm-pas-menu.png

Image : ANSSI.

Sandworm

L’ANSSI indique avoir pu relier ces attaques à un groupe de menace persistante avancée (APT) connu dans le secteur de la cybersécurité sous le nom de Sandworm.

En octobre 2020, le ministère américain de la Justice a formellement inculpé six officiers militaires russes pour leur participation à des cyberattaques orchestrées par ce groupe, reliant formellement l’APT Sandworm à l’unité 74455 de la Direction principale du renseignement russe (GRU), une agence de renseignement militaire faisant partie de l’armée russe.

Parmi les cyberattaques menées par ce groupe, on peut citer les pannes du réseau électrique ukrainien en 2015 et 2016, la diffusion du ransomware NotPetya en 2017, les attaques de la cérémonie d’ouverture des Jeux olympiques d’hiver de PyeongChang en 2018 et la défiguration massive de sites web géorgiens en 2019.

Le ministère de la Justice américain a également fait le lien entre ce groupe et des attaques ayant eu lieu dans le pays. Il serait notamment lié à des campagnes de phishing et à des fuites connexes visant le parti politique “La République en Marche” du président Macron – une affaire également connu sous le nom de MacronLeaks.

Mise en garde

A travers la publication de son rapport ce lundi, l’Anssi met en garde et exhorte les organisations françaises et internationales à inspecter leurs installations Centreon. L’objectif est de détecter la présence des deux souches de malwares, P.A.S. et Exaramel, qui serait un signe d’une intrusion par Sandworm au cours des années précédentes.

Nous avons demandé à Centreon de commenter, mais n’avons pas eu de retour au moment de la publication de cet article.

Plusieurs experts en cybersécurité ont souligné sur Twitter que, même si les fonctionnalités de Centreon sont proches de celles d’Orion, ces attaques semblent plutôt être une exploitation opportuniste de systèmes exposés à internet plutôt qu’une attaque par rebond, comme dans le cas de SolarWinds.

Source : ZDNet.com

Leave a Reply

%d bloggers like this: