L’ANSSI vient de publier un rapport qui décrit une campagne de cyberattaques qui avaient pour but d’exploiter une version du webshell P.A.S contenant une porte dérobée et utilisé par le logiciel de supervision Centreon. L’attaque, dont les premières traces remontent à 2017 et qui s’est poursuivie jusqu’en 2020 a principalement touché des prestataires de services informatiques, notamment d’hébergement web.
L’ANSSI a constaté sur les systèmes compromis l’existence d’une porte dérobée de type webshell, déposée sur plusieurs serveurs Centreon exposés sur internet. Cette porte dérobée a été identifiée comme étant le webshell P.A.S. dans sa version 3.1.4. Sur ces mêmes systèmes, l’ANSSI a identifié la présence d’une autre porte dérobée nommée Exaramel par Eset l’éditeur d’outils de sécurité. D’après l’ANSSI, le mode opératoire similaire à celui d’attaques antérieures pointe vers le groupe APT Sandworm. Un groupe piloté par le GRU, l’agence de renseignements militaires russe.
Une attaque venant de Russie selon les analystes
D’après Félix Aimé, chercheur en cybersécurité chez Kaspersky, « Le rapprochement a été réalisé sur différents points. Tout d’abord, les codes malveillants. Sandworm est le seul groupe connu pour utiliser la porte dérobée Linux Exaramel. En outre, la victimologie et l’infrastructure ont sans doute également permis d’attribuer cette campagne d’attaque au mode opératoire Sandworm, qui est un mode opératoire russophone ayant des liens historiques avec le mode opératoire Sofacy/APT28 ».
Sandworm est actif depuis plusieurs années et œuvre dans le domaine de la déstabilisation, soit par le biais d’attaques par sabotage, soit en faisant, par exemple, fuiter des données après les avoir modifiées, tel que des rapports confidentiels ou des sauvegardes de comptes emails. « Contrairement à son aîné Sofacy/APT28 et d’autres modes opératoires russophones, ce dernier est très agile lors ses attaques. Il préfèrera toujours utiliser des vecteurs d’infection et des outils moins discriminants afin de limiter les possibilités de corrélation entre ses différentes campagnes d’attaques », ajoute Félix Aimé.
Les victimes utilisaient une version obsolète
D’après les informations de l’ANSSI et confirmées par Centreon dans un communiqué, les entreprises touchées utilisaient une version obsolète de Centreon. Une version qui n’est plus supportée depuis 2015. En effet, l’ANSSI précise que la version la plus récente concernée par cette campagne est la version 2.5.2, sortie en novembre 2014. « Cette version n’est non seulement plus supportée depuis plus de 5 ans, mais a, semble-t-il, également été déployée sans respect de sécurisation des serveurs et des réseaux, notamment des connexions vers l’extérieur des entités concernées », explique Centreon.
Centreon a publié 8 versions majeures depuis la 2.5.2. L’éditeur rappelle l’importance du respect des bonnes pratiques de l’hygiène informatique et des recommandations d’installation et de sécurisation des logiciels, et renvoie aux recommandations de l’ANSSI. « Centreon contacte actuellement tous ses clients et partenaires afin de les accompagner vers une vérification de leurs installations et l’application des bonnes pratiques d’hygiène informatique », a précisé l’éditeur. Enfin, l’ANSSI précise que la campagne Sandworm est terminée et qu’aucune activité malicieuse n’est observée à l’heure actuelle.