Русская армия В Украине, которая является самой разрушительной ошибкой в истории, хакеры, известные как песчаные черви, ответственные за все, от тьмы до нотподий, не имеют репутации мудрых людей. Но французская охранная фирма теперь предупреждает хакеров с помощью инструментов и методов, связанных с песчанками, для кражи целей в этой стране с помощью инструмента отслеживания ИТ под названием Centrion — и, похоже, он оставался незамеченным в течение трех лет.
В понедельник французское агентство информационной безопасности ANSSI выпустило консультативное предупреждение о том, что хакеры, связанные с Sandworm, группой российской военной разведки ГРУ, взломали несколько французских организаций. Компания описывает жертв как «в основном» ИТ-компании и особенно компании веб-хостинга. Примечательно, что кампания по проникновению, как утверждается, продолжалась с конца 2017 года до 2020 года. Среди этих нарушений хакеры, похоже, скомпрометировали серверы, на которых работает Centrion, который продается под маркой Paris.
Хотя ANSSI заявило, что не может определить, как эти серверы были взломаны, оно обнаружило в них два разных вредоносных ПО: одно называлось общедоступной дверной PAS, а другое — Exaramel. Словацкая компания по кибербезопасности ESET обнаружила использование песчаного червя во время предыдущих вторжений. Хакерские группы повторно используют вредоносное ПО друг для друга — иногда сознательно вводя следователей в заблуждение — французская компания утверждает, что обнаружила серверы управления и контроля, использованные в хакерской кампании Centrion и предыдущих инцидентах со взломом Sandworm.
Хотя неясно, что хакеры Sandworm намеревались использовать во французской хакерской кампании на протяжении многих лет, любое проникновение Sandworm вызывает тревогу у тех, кто видел результаты прошлой работы группы. «Sandworm связан с деструктивными приложениями», — говорит Джо Слович, исследователь из охранной фирмы Domain Tools, который годами следил за деятельностью Sandworm, в том числе за атакой на украинскую электросеть, где появился первоначальный вариант двери Sandworm Xromal. . «Несмотря на то, что не существует документально подтвержденных французскими властями результатов этой кампании, это правда, что она имеет место, потому что конечная цель большинства операций с песчаными червями приведет к серьезным сбоям. Нам нужно сосредоточиться».
ANSSI не идентифицировало жертв хакерской кампании. Но страница на сайте Центриона Списки клиентов Поставщики телекоммуникационных услуг включают Orange & Opticom, ИТ-консалтинговую фирму CGI, охранную и аэрокосмическую фирму Thales, сталелитейную и горнодобывающую фирму ArcelorMittal, Airbus, Air France KLM, логистическую компанию Kuhn + Nagel, ядерную энергетическую компанию EDF и французские судебные органы. Неясно, раскрыл ли кто-либо из этих клиентов серверы на базе Centrion в Интернете.
«На данный момент ни в одном случае не было доказано, что выявленная уязвимость связана с бизнес-версией, предоставленной Centrion в течение рассматриваемого периода», — говорится в сообщении Centrion по электронной почте, которое регулярно выпускает обновления безопасности. «На данный момент мы не можем указать, были ли уязвимости, указанные ANSSI, предметом одной из этих ссылок через несколько минут после публикации документа ANSSI». ANSSI отказался от комментариев после первоначальной консультации.
Некоторые представители индустрии кибербезопасности сразу же интерпретировали отчет ANSSI как предположение об очередной атаке цепочки распространения программного обеспечения, совершенной против Solar Winds. Во время масштабной хакерской кампании, раскрытой в конце прошлого года, российские хакеры модифицировали приложение компании для наблюдения за информационными технологиями, которое проникло в неизвестное количество сетей и использовало их, в том числе не менее полдюжины федеральных агентств США.
Но в отчете ANSSI не упоминается компрометация цепочки распространения, а DomainTools Slovic заявила, что вторжения, по всей видимости, были осуществлены с использованием серверов, подключенных к Интернету, на которых запущено программное обеспечение Centrion в сетях жертв. Он указывает, что это согласуется с другим предупреждением о песчаных червях, выпущенным АНБ в мае прошлого года: разведка предупредила, что песчаные черви взламывают компьютеры с выходом в Интернет, на которых работает почтовый клиент Exim, работающий на серверах Linux. Программное обеспечение Centrion работает на базе Sentos, основанной на Linux, и оба советника одновременно указывают на схожее поведение. «Эти две кампании использовались параллельно, в одно и то же время, чтобы идентифицировать внешние уязвимые серверы, которые позволяют Linux для первоначального доступа или работы в уязвимых сетях», — говорит Слович. (В отличие от Sandworm, который был широко идентифицирован как часть ГРУ, атаки Solar Wind еще не были прочно связаны с каким-либо конкретным разведывательным агентством, хотя агентства безопасности и разведывательное сообщество США возложили ответственность за хакерскую кампанию на правительство России.)
More Stories
Россия оштрафовала Google на 2,5 триллиона долларов
США заявили, что северокорейские войска в российской форме движутся в сторону Украины
Если Трамп победит на президентских выборах, он планирует заморозить и положить конец войне России на Украине, сообщает FT.