26 февраля, 2021

REGION63.INFO

Информационно-аналитический портал

Франция связывает Россию с песчаным червем с множеством хакерских атак

Русская армия В Украине, которая является самой разрушительной ошибкой в ​​истории, хакеры, известные как песчаные черви, ответственные за все, от тьмы до нотподий, не имеют репутации мудрых людей. Но французская охранная фирма теперь предупреждает хакеров с помощью инструментов и методов, связанных с песчанками, чтобы они украли цели в этой стране, используя инструмент отслеживания ИТ под названием Centrion, который, похоже, оставался незамеченным в течение еще трех лет.

В понедельник французское агентство информационной безопасности ANSSI выпустило консультативное предупреждение о том, что хакеры, связанные с Sandworm, группой российской военной разведки ГРУ, взломали несколько французских организаций. Компания описывает жертв как «в основном» ИТ-компании и особенно компании веб-хостинга. Примечательно, что кампания по проникновению, как утверждается, продолжалась с конца 2017 года до 2020 года. Среди этих нарушений хакеры, похоже, скомпрометировали серверы, на которых работает Centrion, который продается под маркой Paris.

Хотя ANSSI заявило, что не может определить, как эти серверы были взломаны, они обнаружили в них два разных вредоносных ПО: одно, широко известное как Door PAS, а другое – Exaramel. Словацкая компания по кибербезопасности ESET обнаружила использование песчаного червя во время предыдущих вторжений. Хакерские группы повторно используют вредоносное ПО друг для друга – иногда сознательно вводя следователей в заблуждение – французская компания утверждает, что обнаружила серверы управления и контроля, использованные в хакерской кампании Centrion и предыдущих инцидентах со взломом Sandworm.

Хотя неясно, что хакеры Sandworm намеревались использовать во французской хакерской кампании на протяжении многих лет, любое проникновение Sandworm вызывает тревогу у тех, кто видел результаты прошлой работы группы. «Sandworm связан с деструктивными приложениями», – говорит Джо Слович, исследователь из охранной фирмы Domain Tools, который годами следил за деятельностью Sandworm, в том числе за атакой на украинскую электросеть, где появился первоначальный вариант двери Sandworm Xromal. . «Несмотря на то, что не существует документально подтвержденных французскими властями результатов этой кампании, это правда, что она имеет место, потому что конечная цель большинства операций с песчаными червями приведет к серьезным сбоям. Нам нужно сосредоточиться».

READ  ESG Magnets вкладывает деньги в Азию в рамках глобального роста

ANSSI не идентифицировало жертв хакерской кампании. Но страница на сайте Центриона Списки клиентов Поставщики телекоммуникационных услуг включают Orange & Opticom, ИТ-консалтинговую фирму CGI, охранную и аэрокосмическую фирму Thales, сталелитейную и горнодобывающую фирму ArcelorMittal, Airbus, Air France KLM, логистическую компанию Kuhn + Nagel, ядерную энергетическую компанию EDF и французские судебные органы. Неясно, раскрыл ли какой-либо из этих клиентов серверы Sentry, работающие в Интернете.

«На данный момент ни в одном случае не было доказано, что выявленная уязвимость относится к бизнес-версии, предоставленной Centrion в течение рассматриваемого периода», – говорится в сообщении Centrion по электронной почте, которое регулярно выпускает обновления безопасности. «На данный момент мы не можем указать, были ли уязвимости, указанные ANSSI, предметом одной из этих ссылок через несколько минут после выпуска документа ANSSI». ANSSI отказался от комментариев после первоначальной консультации.

Некоторые в индустрии кибербезопасности сразу же интерпретировали отчет ANSSI как предположение об очередной атаке на цепочку распространения программного обеспечения, осуществленной против Solar Winds. Во время масштабной хакерской кампании, раскрытой в конце прошлого года, российские хакеры модифицировали приложение компании для наблюдения за информационными технологиями, которое проникло в неизвестное количество сетей и использовало их, в том числе не менее полдюжины федеральных агентств США.

Но в отчете ANSSI не упоминается компрометация цепочки распространения, а DomainTools Slovic заявила, что вторжения, по всей видимости, были осуществлены с использованием серверов, подключенных к Интернету, на которых запущено программное обеспечение Centrion в сетях жертв. Он указывает, что это согласуется с другим предупреждением о песчаных червях, выпущенным АНБ в мае прошлого года: разведка предупредила, что песчаные черви взламывают компьютеры с выходом в Интернет, на которых работает почтовый клиент Exim, работающий на серверах Linux. Программное обеспечение Centrion работает на базе Sentos, основанной на Linux, и оба советника одновременно указывают на схожее поведение. «Эти две кампании использовались параллельно, в одно и то же время, чтобы идентифицировать внешние уязвимые серверы, которые позволяют Linux для первоначального доступа или работы в затронутых сетях», – говорит Слович. (В отличие от Sandworm, который был широко идентифицирован как часть ГРУ, атаки Solar Wind еще не были прочно связаны с каким-либо конкретным разведывательным агентством, хотя агентства безопасности и разведывательное сообщество США возложили ответственность за хакерскую кампанию на правительство России.)

READ  Франция и Россия требуют контроля над добычей урана в Иране Ядерные новости