黑客利用IT监控工具Centreon攻击几家法国实体

被称为“沙虫”的与俄罗斯有联系的国家赞助的威胁行动方，与一项为期三年的秘密行动有关，该行动利用一种名为“沙虫”的IT监控工具对目标进行黑客攻击森特隆.

入侵行动—；违反了"若干法国实体"和#8212 ;；据法国信息安全局ANSSI在一份咨询报告中称，据说从2017年底开始，一直持续到2020年，攻击对网络主机提供商的影响尤其大。

该机构周一表示：“在受到攻击的系统上，ANSSI发现了一个以webshell形式存在的后门，该后门掉在了几个暴露于互联网的Centreon服务器上。”。“此后门被识别为PAS webshell，版本号为3.1.4。在相同的服务器上，ANSSI发现了另一个与ESET描述的后门相同的后门，名为Exramel。”

据说，俄罗斯黑客组织（也称为APT28、TeleBots、伏都教熊或维京铁）是过去几年中一些最具破坏性的网络攻击的幕后黑手，包括2016年乌克兰电网的攻击、2017年NotPetya勒索软件爆发和2018年平昌冬奥会。

虽然初始攻击向量似乎还不知道，但受害者网络的妥协与CnReRon，一个应用程序，和由一个同名的法国公司开发的网络监控软件联系起来。

Centreon成立于2005年，客户包括空客、卡拉贝斯航空、安赛乐米塔尔、英国电信、卢克索蒂卡、库恩+纳格尔、法国司法部、新西兰警察局、普华永道俄罗斯公司、所罗门、赛诺菲和丝芙拉。目前尚不清楚有多少或哪些组织通过该软件黑客攻击被攻破。

ANSSI说，受损的服务器运行CENTOS操作系统（2.5.2版），并补充说，在两种不同的恶意软件—；一个公开的webshell称为PAS，另一个称为Exramel，自2018年以来，它一直被沙虫在以前的攻击中使用。

WebShell具有处理文件操作、搜索文件系统、与SQL数据库交互、对SSH、FTP、POP3和MySQL执行暴力密码攻击、创建反向shell以及运行任意PHP命令的功能。

另一方面，Exramel是一个远程管理工具，能够执行shell命令，并在攻击者控制的服务器和受感染的系统之间来回复制文件。它还使用HTTPS与其命令和控制（C2）服务器进行通信，以检索要运行的命令列表。

此外，ANSSI的调查显示，为了连接到网络外壳，使用了通用VPN服务，C2基础设施中存在重叠，将操作连接到Sandworm。

研究人员详细介绍说：“已知入侵集沙虫在专注于符合其在受害者群体中的战略利益的特定目标之前，会领导后续的入侵活动。”。“ANSSI观察到的活动符合这种行为。”

鉴于SolarWinds的供应链攻击，Centreon等监控系统已成为不良行为体在受害者环境中站稳脚跟并横向移动的有利可图的目标，这不足为奇。但与前者的供应链妥协不同，新披露的攻击不同之处在于，它们似乎是通过利用受害者网络中运行Centreon软件的面向互联网的服务器实施的。

“因此，建议在漏洞公开并发布纠正补丁后立即更新应用程序，”ANSSI警告说。“建议不要将这些工具的web界面公开给[互联网]，或使用非应用程序身份验证限制此类访问。”

2020年10月，美国政府正式指控六名俄罗斯军官参与该组织策划的破坏性恶意软件攻击，此外还将这名沙虫演员与俄罗斯陆军军事情报机构俄罗斯主要情报局（GRU）的74455部队联系起来。

使现代化

法国软件公司Centreon周二在ANSSI的报告发布后发布了一份澄清声明，称其客户均未受到黑客攻击活动的影响。黑客攻击活动被发现袭击了运行其网络监控软件的商业实体。

“ANSSI所描述的活动完全涉及Centreon开放源代码软件的过时版本，”该公司表示，该软件在五年内不再得到积极支持，并补充说，“只有大约15家实体是此次活动的目标。

ANSSI在分析中表示，这些攻击专门针对网络托管公司。

除了敦促其过时软件的用户更新到最新版本外，Centreon还强调，此次活动不是供应链类型的攻击，“在这种情况下，无法与其他类型的攻击进行比较。”