France : Les hackers de l’État russe ont ciblé les serveurs Centreon dans le cadre d’une campagne qui a duré des années

Image : Centreon

L’agence française de cyber-sécurité a déclaré qu’un groupe de pirates militaires russes, connu sous le nom de groupe Sandworm, était à l’origine d’une opération de trois ans au cours de laquelle ils ont pénétré dans les réseaux internes de plusieurs entités françaises utilisant le logiciel de surveillance informatique Centreon.

Les attaques ont été détaillées dans un rapport technique publié aujourd’hui par l’Agence nationale de la sécurité des systèmes d’information, également connue sous le nom d’ANSSI, la principale agence de cybersécurité du pays.

“Cette campagne a surtout touché les fournisseurs de technologies de l’information, en particulier les hébergeurs de sites web”, ont déclaré aujourd’hui les responsables de l’ANSSI.

“La première victime semble avoir été compromise à partir de la fin de 2017. La campagne a duré jusqu’en 2020”.

Le point d’entrée dans les réseaux de victimes était lié à Centreonune plateforme de surveillance des ressources informatiques développée par la société française CENTREON, et un produit similaire en termes de fonctionnalités à la plateforme Orion de SolarWinds.

Selon l’ANSSI, les attaquants ont ciblé les systèmes Centreon qui sont restés connectés à Internet. L’agence française ne pouvait pas dire au moment de la rédaction du présent rapport si les attaques exploitaient une vulnérabilité du logiciel Centreon ou si les attaquants avaient deviné les mots de passe des comptes d’administration.

Toutefois, en cas d’intrusion réussie, les attaquants ont installé une version du P.A.S. web shell et le Trojan Exaramel à porte dérobéedeux souches de logiciels malveillants qui, lorsqu’elles sont utilisées ensemble, permettent aux pirates de contrôler totalement le système compromis et son réseau adjacent.

Image : ANSSI

Dans une rare mesure, l’ANSSI a déclaré avoir réussi à relier ces attaques à un groupe de menace persistante avancée (APT) connu dans le secteur de la cybersécurité sous le nom de Sandworm.

En octobre 2020, le ministère américain de la justice a formellement accusé six officiers militaires russes de leur participation à des cyber-attaques orchestrées par ce groupe, liant officiellement l’APT Sandworm à l’unité 74455 de la Direction principale du renseignement russe (GRU), une agence de renseignement militaire faisant partie de l’armée russe.

Les cyber-attaques menées précédemment par ce groupe comprenaient les pannes du réseau électrique ukrainien en 2015 et 2016, l’épidémie de rançon de NotPetya en 2017, les attaques de la cérémonie d’ouverture des Jeux olympiques d’hiver de PyeongChang en 2018 et la dégradation massive de sites web géorgiens en 2019.

En outre, le DOJ a également lié ce groupe à des attaques contre la France, notamment à des campagnes de harponnage et à des opérations de piraterie connexes visant le parti politique “La République en Marche” du président français Macron – une opération également appelée Fuites de macron.

Par la publication de son rapport aujourd’hui, l’ANSSI met en garde et exhorte les organisations françaises et internationales à inspecter leurs installations Centreon pour détecter la présence des deux souches de logiciels malveillants P.A.S. et Exaramel, signe que les entreprises ont été violées par les attaques de Sandworm au cours des années précédentes.

Un porte-parole de Centreon n’a pas répondu à une demande de commentaires avant la publication de cet article.

Malgré la similitude des fonctionnalités entre Centreon et les applications SolarWinds Orion, les attaques de Centreon semblent être une exploitation opportuniste des systèmes exposés à Internet plutôt qu’une attaque de la chaîne d’approvisionnement, comme l’ont souligné aujourd’hui plusieurs experts en sécurité sur Twitter.



En savoir plus sur les prix immobilier