L’Agence nationale de la sécurité des systèmes d’information (ANSSI), a publié un rapport lundi sur une campagne d’attaque du mode opératoire Sandworm ciblant des serveurs Centreon.
Elle a « été informée » d’une campagne de compromission touchant plusieurs entités françaises exploitant la plateforme Centreon de supervision informatique, de son éditeur éponyme.
Les premières compromissions identifiées par l’ANSSI datent de fin 2017 et se sont poursuivies jusqu’en 2020 – ce qui est vraiment très long, et l’on se demande pourquoi l’ANSSI n’a pas cru bon de dévoiler la campagne plus tôt.
Cette campagne aurait principalement touché des prestataires de services informatiques, notamment d’hébergement web.
Voici toutefois une courte liste de références mise en avant par Centreon : Airbus, Air Caraïbes, AP-HP, Bosch Automotive Products China, BT, CGI, Encevo, FM Logistic, Genuine Parts Company, Groupama, Kuehne + Nagel USA, Luxottica, Ministère de la Justice français, New Zealand Police, Objectif Lune, Opticomm, Pixagility, PWC Russia, Salomon, Sanofi, Sephora, Sky Italia, Urgences Santé Qc, Viking Cruises, XR Trading, ZF Friedrichshafen AG.
Un mode opératoire est la somme des outils, tactiques, techniques, procédures et caractéristiques mises en œuvre par un ou plusieurs acteurs malveillants dans le cadre d’une ou plusieurs attaques informatiques. Il n’est pas à confondre avec un groupe d’attaquants, composé d’individus ou d’organisations.
D’après l’ANSSI, le mode opératoire de ces cyberattaques est Sandworm, c’est-à-dire le même mode opératoire que la Sandworm Team, une unité cybermilitante du renseignement russe GRU.
L’ANSSI ajoute que ce mode est connu pour mener des campagnes de compromission larges puis pour cibler parmi les victimes celles qui sont le plus stratégiques, sans malheureusement dévoiler quels types d’entités étaient visés, ce qui leur permettrait de mieux se défendre.
Deux portes dérobées ont été intégrées au code source de la plateforme de Centreon : le webshell P.A.S. programmé en PHP, avec des modules pour la gestion de fichiers, y compris le téléversement de logiciels malveillants, les changements de permission, de date de dernière modification ; de réseaux, de bases de données, et de recherche de mots de passe en force brute.
La deuxième porte dérobée est programmée en Go : il s’agit de l’implant Exaramel, un outil d’administration à distance, qui permet d’effectuer des « tâches » telles que de copier un fichier du serveur de contrôle à la machine Examarel, et inversement, ainsi que d’exécuter des commandes shell.
Les recommandations ne surprendront personne : mettre à jour les applications, supprimer ou limiter l’exposition internet des outils de supervision, et renforcer la sécurité des serveurs linux portant ces outils.
Sur ce dernier point, l’ANSSI recommande d’utiliser le profil renforcé de son guide : Recommandations de configuration d’un système GNU/Linux. 2019, URL : https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systemegnulinux/ .