Discussion :

[Nancy Rey]

France : Les hackers de l'État russe ont ciblé les serveurs Centreon dans le cadre d'une campagne qui a duré des années,
un rapport de l'ANSSI expose ces nouvelles attaques du groupe Sandworm

L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a déclaré qu'un groupe de pirates militaires russes, connu sous le nom de groupe Sandworm, est à l'origine d'une opération de trois ans au cours de laquelle ils ont pénétré dans les réseaux internes de plusieurs entités françaises utilisant le logiciel de surveillance informatique Centreon. Cette campagne, qui ciblait le logiciel de supervision Centreon (édité par la société française du même nom), a principalement touché des prestataires de services informatiques, notamment d’hébergement web et a déclenché de nouvelles discussions sur la sécurité de la chaîne d'approvisionnement des logiciels.

Les attaques ont été détaillées dans un rapport technique publié hier par l'Agence Nationale de la Sécurité des Systèmes d'Information, également connue sous le nom d'ANSSI, la principale agence de cybersécurité du pays. « Cette opération a surtout touché les fournisseurs de technologies de l'information, en particulier les hébergeurs de sites web. La première victime semble avoir été compromise à partir de la fin de 2017. La campagne a duré jusqu'en 2020 », ont déclaré aujourd'hui les responsables de l'ANSSI.

Le point d'entrée dans les réseaux des victimes était lié à Centreon, une plateforme de surveillance des ressources informatiques et un produit similaire en termes de fonctionnalités à la plateforme Orion de SolarWinds. Selon l'ANSSI, les attaquants ont ciblé les systèmes Centreon qui sont restés connectés à Internet. L'agence française n’ a pas spécifié si les attaques exploitaient une vulnérabilité du logiciel Centreon ou si les attaquants avaient deviné les mots de passe des comptes d'administration.

Cependant, L’ANSSI a constaté sur les systèmes compromis l’existence d’une porte dérobée de type webshell, déposée sur plusieurs serveurs Centreon exposés sur internet. Cette porte dérobée a été identifiée comme étant le webshell P.A.S. dans sa version 3.1.4. Sur ces mêmes systèmes, l’ANSSI a ensuite identifié la présence d’une autre porte dérobée nommée Exaramel. Ces deux souches de logiciels malveillants utilisés ensemble ont permis aux pirates de contrôler totalement le système compromis et son réseau adjacent.

L'ANSSI a déclaré « Cette campagne présente de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm », et dans une rare mesure confie avoir réussi à relier ces attaques au groupe Sandworm.

En octobre 2020, le ministère américain de la Justice a formellement accusé six officiers militaires russes de leur participation à des cyberattaques orchestrées par ce groupe, liant officiellement Sandworm à l'unité 74455 de la Direction principale du renseignement russe (GRU), un service de renseignement militaire faisant partie de l'armée russe. Parmi les cyberattaques menées précédemment par ce groupe, citons les pannes de réseau électrique en Ukraine en 2015 et 2016, les attaques au wiper NotPetya en 2017, les attaques de la cérémonie d'ouverture des Jeux olympiques d'hiver de PyeongChang en 2018 et la destruction massive de sites web géorgiens en 2019. En outre, le ministère américain de la Justice a également lié ce groupe à des attaques contre la France, notamment les cyberattaques contre le mouvement En marche! qui a porté Emmanuel Macron à la tête de la France.

L'agence a également découvert que des serveurs connus contrôlés par Sandworm étaient utilisés dans le cadre de l'infrastructure de commandement et de contrôle pour les infiltrations d'entités françaises et européennes qui ont eu lieu il y a quatre ans. « D'une manière générale, on sait que l'ensemble d'intrusion Sandworm mène des campagnes d'intrusion conséquentes avant de se concentrer sur des cibles spécifiques qui correspondent à ses intérêts stratégiques au sein du pool de victimes. La campagne observée par l'ANSSI correspond à ce comportement », a déclaré l'agence.

Par la publication de son rapport, l'ANSSI met en garde et exhorte les organisations françaises et internationales à inspecter leurs installations Centreon pour détecter la présence des deux souches de logiciels malveillants P.A.S. et Exaramel. L'agence a également publié une série de recommandations à l'intention des organisations afin de barrer la voie au groupe Sandworm et les autres groupes de même type. Il s'agit notamment d'améliorer la gestion des correctifs, de durcir les serveurs et de limiter l'exposition des systèmes de surveillance.

« Les systèmes de surveillance tels que Centreon doivent être fortement imbriqués avec le système d'information surveillé et sont donc une cible privilégiée pour les ensembles d'intrusion cherchant à se latéraliser. Il est recommandé soit de ne pas exposer les interfaces web de ces outils à l'Internet, soit de limiter cet accès en utilisant une authentification non applicative (certificat client TLS, authentification de base sur le serveur web) », a ajouté l'agence.

Malgré la similarité des fonctionnalités entre Centreon et les applications SolarWinds Orion, les attaques de Centreon semblent être une exploitation opportuniste des systèmes exposés à Internet plutôt qu'une attaque de la chaîne d'approvisionnement, comme l'ont souligné aujourd'hui plusieurs experts en sécurité sur Twitter. Timo Stephens qui travaille dans une agence allemande de cyberespionnage a déclaré : « Depuis plus de trois ans, Sandworm utilise des webshells et la version Linux de la porte dérobée Exaramel contre des entités françaises sans être détecté. Le vecteur d'attaque initial n'est pas clair, mais des logiciels malveillants ont été trouvés sur des serveurs fonctionnant sous Centreon (vulnérabilité plus probable que la chaîne d'approvisionnement) ».

Source : ANSSI, Twitter

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

La NSA alerte sur une vague de cyberattaques contre les serveurs Exim, par le groupe russe Sandworm

Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées

Les USA inculpent six agents du renseignement militaire russe pour une série de cyberattaques majeures, dont le wiper NotPetya et l'attaque contre le parti français En marche ! en 2017

[gabriel21]

Depuis les années 2010, la Russie fait des attaques symétriques sur les membres de l'OTAN, avec une petite préférence pour réutiliser les armes de l'alliance. Par conséquent, qu'ont fait les services d'état français contre les institutions et les sociétés russes à cette époque?

Ah la cyberguerre, c'est une arme tout à fait respectable quand elle est utilisé par les défenseurs de la démocratie, mais un scandale quand les autres l'utilisent. Et vu que nos politiques se targuent tous d'autoriser les attaques cyber sans autres raisons que leur bon vouloir, cela promets bien des rebondissements, digne d'une série grand public à rallonge. Préparez le pop corn et les sodas, à moins que vous soyez plutôt saucissons et vin rouge...

Plus sérieusement le rapport de l'ANSSI est bien fait. Il s'attarde sur les méthodes utilisées et ne parle peu de l'origine (1/2i page sur un rapport de 40). Plus quelques conseils en matière de détections et de sécurisation.

[walfrat]

Vicoi les divers réflexions que cela m'insipire...

1. C'est si dur que ça de mettre Centréon derrière le pare-feu et mettre une règle pour qu'ils puisse faire ses checks en DMZ ?
2. Certains admins aiment un peu trop pouvoir bosser depuis chez eux
3. Stagiaiiiiiire

[Refuznik]

Il serait utile d’éviter de relayer sans les analyser les publications en mode « whitepaper » de l’ANSSI.
En l’état, la « faille » vient d’une version de Centreon de AOUT 2014.
Qui n’a donc jamais été mise à jour depuis.
Et qui avait une CVE Sev10 depuis OCTOBRE 2014. Et corrigée en Octobre 2014 avec la release 2.5.3

Dans ces conditions, cette annonce de l’ANSSI est proche du ridicule.

D'ailleurs Centreon a répondu là-dessus : « Nous demandons à l’Anssi des éclaircissements sur ses méthodes d’investigation et sur les modifications apportées à nos solutions open source », a plaidé le porte-parole de Centreon, dénonçant une « mise en cause extrêmement dommageable » pour l’entreprise.

===

Par contre, vous pouvez vous amuser sur les GROS soucis de traductions de cette publication:

Les serveurs compromis identifiés par l’ANSSI étaient sous le système d’exploitation CENTOS. Les installations de l’outil Centreon n’avaient pas été tenues à jour. Ainsi, sur les systèmes compromis étudiés, la version de Centreon la plus récente identifiée est la 2.5.2.

vs

Compromised servers identified by ANSSI ran the CENTOS operating system. Centreon was recently updated. The most recent installation version studied by ANSSI was 2.5.2.

C’est un epic fail.

[Stan Adkens]

Seules 15 entités ont été ciblées lors de la récente vague de piratage informatique russe en France, selon Centreon,
Et elles utilisaient des versions open source obsolètes du logiciel

L'ANSSI a publié un rapport le 15 février concernant une vague de piratage informatique attribuée aux Russes au cours de laquelle les cybercriminels ont pénétré dans les réseaux internes de plusieurs entités françaises utilisant le logiciel de surveillance informatique Centreon. Suite à ce rapport, la société française de logiciels, du même nom que le logiciel, a déclaré mardi qu'aucun de ses clients payants n'a été victime de cette campagne de piratage informatique qui a été révélée lundi.

Selon les détails de l’attaque exposés dans le rapport publié par l'ANSSI, l'agence française de sécurité informatique, la principale agence de cybersécurité du pays, la campagne de piratage a duré entre 2017 et 2020, et visait les entreprises utilisant le produit principal de la société, le logiciel Centreon, utilisé pour la surveillance des ressources informatiques au sein des grandes entreprises.

Le point d'entrée dans les réseaux des victimes était lié à Centreon, un produit similaire en termes de fonctionnalités à la plateforme Orion de SolarWinds. Selon l'ANSSI, les attaquants ont ciblé les systèmes Centreon qui sont restés connectés à Internet. Les pirates, dont on pense qu'ils sont liés au gouvernement russe, ont pénétré dans les entreprises utilisant le logiciel et ont installé des logiciels malveillants pour effectuer une surveillance silencieuse. L'agence française n’ a pas spécifié si les attaques exploitaient une vulnérabilité du logiciel Centreon ou si les attaquants avaient deviné les mots de passe des comptes d'administration.

Mais dans un communiqué de presse publié mardi, Centreon a déclaré qu'aucun de ses principaux clients commerciaux n'avait été touché par ces attaques. Seules les entreprises qui ont téléchargé la version open source de l'application Centreon, que la société fournit gratuitement sur son site Web depuis novembre 2014, ont été touchées, a déclaré Centreon.

« Ce rapport pourrait induire les personnes en erreur en leur faisant croire que les solutions fournies par Centreon présenteraient des failles de sécurité », a déclaré Centreon en parlant du rapport de l’ANSSI.

« La campagne décrite par l'ANSSI concerne exclusivement les versions obsolètes des logiciels open source de Centreon. En effet, l'ANSSI précise que la version la plus récente concernée par cette campagne est la version 2.5.2, sortie en novembre 2014. Non seulement cette version n'est plus prise en charge depuis plus de 5 ans, mais elle a apparemment été déployée sans respect de la sécurité des serveurs et des réseaux, y compris les connexions en dehors des entités concernées ».

« Selon les discussions des dernières 24 heures avec l'ANSSI, seulement une quinzaine d'entités ont été la cible de cette campagne, et qu'elles sont toutes des utilisateurs d'une version obsolète de l'open source (v2.5.2), qui n'est plus prise en charge depuis 5 ans », a déclaré la société française dans son communiqué, en ajoutant que « Depuis cette version, Centreon a publié huit versions majeures ».

Centreon, qui n’a pas immédiatement commenté le rapport de l'ANSSI après la publication le lundi, a dû publier une déclaration le lendemain pour éviter que sa réputation ne soit entachée, à l'instar de la façon dont les entreprises ont commencé à abandonner la plateforme de surveillance de réseaux SolarWinds Orion suite à la nouvelle d'une faille de sécurité majeure en décembre dernier.

Sur son site Web, Centreon répertorie des clients tels qu'Airbus, l'Agence France Presse, Euronews, Orange, Lacoste, Sephora, ArcelorMittal, Total, SoftBank, Air France KLM, ainsi que plusieurs agences gouvernementales et municipalités françaises. Cependant, aucun d'entre eux ne semble avoir été attaqué, selon Centreon. En outre, selon le rapport de l'ANSSI, l'agence de cybersécurité a également déclaré que les attaquants visaient principalement les sociétés d'hébergement Web.

Un lien existant entre les attaques et le groupe Sandworm, qui serait lié à la Direction de renseignement russe

L'agence française de cybersécurité a également établi des liens entre les attaques et un groupe de piratage informatique connu sous le nom de Sandworm, lié l'année dernière par le gouvernement américain à l'unité 74455 de la Direction principale du renseignement russe (GRU), une agence de renseignement militaire faisant partie de l'armée russe. Le lien entre les attaques et Sandworm était l'utilisation d'Exaramel, un type de cheval de Troie à portes dérobées multiplateformes que les attaquants ont installé sur des serveurs après avoir pris pied via le logiciel Centreon. Ce malware a été aperçu par l’agence sur plusieurs serveurs Centreon exposés sur Internet.

L'attaque « rappelle les méthodes déjà utilisées par le groupe Sandworm lié aux services de renseignement russes, mais elle ne garantit pas que ce soit eux », a déclaré à l'AFP Gérôme Billois, expert en cybersécurité de la société de sécurité informatique Wavestone.

Costin Raiu, directeur du Global Research and Analysis Team (GReAT) de Kaspersky Lab, a également déclaré lundi que Sandworm était le seul groupe à avoir été vu utilisant le malware Exaramel décrit dans le rapport de l'ANSSI, confirmant ainsi le rapport de l'agence.

Cependant, le Kremlin a nié mardi que des pirates informatiques russes soient derrière les cyberattaques contre les entreprises françaises. « La Russie n'a jamais eu, n'a pas actuellement et ne pourrait jamais avoir d'implication dans la cybercriminalité », a déclaré aux journalistes le porte-parole du Kremlin, Dmitri Peskov.

Le piratage a eu lieu de 2017 à 2020, a ajouté l'ANSSI dans son rapport. Cette longue période suggère que les attaquants étaient « extrêmement discrets, probablement dans le but de voler des informations ou d'espionner », a déclaré Billois, ajoutant qu'il faudrait du temps pour voir l'ampleur réelle de l'attaque.

Les services de renseignement et les forces de l'ordre américains ont déclaré que la Russie était probablement derrière un piratage massif récemment découvert contre la société américaine SolarWinds, qui vend des logiciels largement répandus dans les ordinateurs du gouvernement et du secteur privé. Le Département d'État, le Département du Commerce, le Trésor, le Département de la Sécurité intérieure, le Département de la défense et les Instituts nationaux de la santé ont depuis admis qu'ils étaient compromis.

Quelque 18 000 clients publics et privés de SolarWinds étaient vulnérables au piratage, selon une déclaration de trois agences de sécurité américaines début janvier. Ces agences de sécurité ont déclaré qu'elles pensaient que le piratage « était, et continue d'être, un effort de collecte de renseignements », plutôt qu'un effort pour voler des secrets d'entreprise ou endommager les systèmes informatiques.

Il est notoirement difficile d'attribuer la responsabilité des attaques de piratage, ce qui signifie que les agences de renseignement et les spécialistes de la cybersécurité refusent souvent de pointer du doigt avec certitude. Ils s'appuient généralement sur les indices laissés par les pirates informatiques et les techniques utilisées pour pénétrer dans les réseaux pour tenter d'identifier les attaquants les plus probables.

Centreon dit être sûr d’une chose, c’est que ses échanges avec l'ANSSI confirment que, contrairement à la situation aux États-Unis avec SolarWinds Orion, son logiciel n'a pas distribué ou contribué à propager des codes malveillants. « Il ne s'agit pas d'une attaque de type chaîne d'approvisionnement et aucun parallèle avec d'autres attaques de ce type ne peut être établi dans ce cas ». Par ailleurs, la campagne en question serait définitivement terminée et qu'aucune activité malveillante ne peut être observée pour le moment.

Centreon a terminé son communiqué de presse en recommandant « à tous les utilisateurs qui ont encore une version obsolète de son logiciel open source en production de le mettre à jour à la dernière version ou de contacter Centreon et son réseau de partenaires certifiés ».

Source : Centreon

Et vous ?

Que pensez-vous des commentaires de Centreon à propos de la longue campagne de cyberespionnage ?
Que pensez-vous des organisations qui gardent en production des versions obsolètes des logiciels ?

Voir aussi :

Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées
France : Les hackers de l'État russe ont ciblé les serveurs Centreon dans le cadre d'une campagne qui a duré des années, un rapport de l'ANSSI expose ces nouvelles attaques du groupe Sandworm
Les USA inculpent six agents du renseignement militaire russe pour une série de cyberattaques majeures, dont le wiper NotPetya et l'attaque contre le parti français En marche ! en 2017
États-Unis : le piratage des agences fédérales est « vraisemblablement d'origine russe », selon les agences de sécurité nationale, et semblait être destiné à la « collecte de renseignements »

[schlebe]

En effet, s'il s'agit d'Open Source, il suffit que Poutine ait demandé à Trump d'accepter des russes dans l'équipe de gestion du logiciel CentOS.

A partir de là, toutes les équipes russes ont pu travailler pour magouiller une version de CentOS perméable à toutes les requêtes russes.

Ce code pourri est resté dans le code Open Source opérationnel aussi longtemps que personne n'a découvert ce que cela faisait.

Pour pourrir un logiciel Open Source, il n'est pas nécessaire de modifier son code, cela est également possible en modifiant un des nombreux sous code utilisés en Java (voir repository Maven).

Si l'on veut véritablement disposer d'un OS Open Source sûre à 100%, il faut alors vérifier tout le code Open Source soit même.

C'est le prix à payer si l'on ne veut rien payer en passant par Linux.

[gabriel21]

En effet, s'il s'agit d'Open Source, il suffit que Poutine ait demandé à Trump d'accepter des russes dans l'équipe de gestion du logiciel CentOS.

Il est évident qu'avec son "American First", Trump aurait accepté. Ensuite, CentOS est contrôlé par Red Hat qui lui même appartient à IBM qui au dernière nouvelle n'a jamais était très proche de Trump. C'est quoi ce délire paranoïaque que l'Open Source est aux ordres d'un état. Faut arrêter avec les complotistes...

Si l'on veut véritablement disposer d'un OS Open Source sûre à 100%, il faut alors vérifier tout le code Open Source soit même.

Cela vaut aussi avec un OS propriétaire. Du toute les façons, on est bien servi que par soi-même.
<mode ironie>La confiance n'existe pas, tout pays, toute personne est un meurtrier et un espion en puissance. Relançons la bonne vielle chasse au sorcière et brûlons tous les ennemis de la démocratie</mode ironie>

[darklinux]

Tous ça à cause de sys admin qui non pas fait leurs travaux