• ГлавнаяНовостиНовостиНовости, 202102Новости, 202102 → Загадочные хакеры много лет использовали для кибератак европейское ПО мониторинга ИТ-инфраструктуры

      Загадочные хакеры много лет использовали для кибератак европейское ПО мониторинга ИТ-инфраструктуры

      Разработки французской фирмы Centreon, возможно, использовались для атак на различных хостинг-провайдеров во Франции в течение трех-четырех лет. В атаках использовались вредоносы, родственные NotPetya.

      КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}/*Обратная связь и подписка - кнопки*/ .buttons{background:#e0ffff;color:#dc143c;font-weight:700;border:1.5px solid black;border-radius:4px;transition:0.4s;}.buttons:hover {background-color:#4CAF50;color:white;box-shadow:0 12px 16px 0 rgba(0,0,0,0.24), 0 17px 50px 0 rgba(0,0,0,0.19);cursor:pointer;}

Наиболее вероятный подозреваемый

Программные средства мониторинга ИТ-инфраструктуры, разработанные французской компанией Centreon, использовались хакерами для атак на другие организации. Исследователи французского Национального агентства по безопасности информационных систем (ANSSI) отметили, что злоумышленники, стоявшие за атаками, продемонстрировали modus operandi, напоминающий деятельность русскоязычной шпионской группировки Sandworm. Впрочем, исследователи не решились утверждать, что речь идет именно о ней.

В 40-страничном исследовании, размещенном на сайте ANSSI, говорится, что атаки начались еще в 2017 г. и продолжались до 2020 г. включительно. Большая часть жертв — это сервисные ИТ-фирмы, хостинг-провайдеры и другие компании из этого же сегмента. Их объединяет использование разработок Centreon, однако в ANSSI так и не смогли определить точно, каким именно образом производилась первичная компрометация жертв. Речь идет либо об использовании некоей уязвимости в платформе Centreon, доступной для эксплуатации через веб, либо об «атаке через цепочку поставок», т. е. через заранее скомпрометированное ПО (в том числе, возможно, и разработку Centreon).

Centreon (это название и компании-разработчика, и самой платформы) — опенсорсная система, доступная под разными вариантами Linux. Ее распространяемые дистрибутивы, впрочем, настроены под операционную систему CentOS, которая также представляет собой дериватив Linux.

Все скомпрометированные злоумышленниками и исследованные специалистами ANSSI серверы работали как раз под CentOS.

Непосредственные улики

На атакованные серверы устанавливались бэкдоры Exaramel и P.A.S. webshell. P.A.S., также известный как Fobushell. Это написанная на PHP программа авторства украинского студента Ярослава Панченко. Вполне легитимная изначально, эта утилита очень быстро приглянулась киберзлоумышленникам.

Когда в декабре 2016 г. Министерство внутренней безопасности США опубликовало доклад о предполагаемой атаке на избирательную систему страны, Fobushell версий 3.0.10 и 3.1.0 был обозначен как один из основных инструментов атакующей стороны.

Последней официальной версией P.A.S. стала 4.1.1. Панченко, как утверждается в исследовании ANSSI, впоследствии закрыл свой сайт, свернул разработку веб-шелла и связался с властями США. Однако множественные варианты P.A.S., естественно, продолжают циркулировать в Сети.

В атаках на клиентов Centreon использовалась версия P.A.S., в исходном коде которой обозначена версия 3.1.4. В публичном доступе такой версии не было, скорее всего, организаторы атаки модифицировали исходный код P.A.S. под свои нужды, благо это не так сложно сделать.

Опасные связи

Еще любопытнее бэкдор Exaramel. Этим вредоносом, по данным экспертов фирмы ESET пользовалась та же группировка, что стояла за шифровальщиком NotPetya. Разные вендоры средств безопасности обозначают эту группировку как BlackEnergy, TeleBots или Sandworm. Exaramel представляет собой усовершенствованную версию бэкдора Industroyer, с помощью которого была произведена атака на энергетическую инфраструктуру Украины в конце 2016 г.

Тем не менее, в анализе ANSSI указывается, что точно установить происхождение двоичного файла Exaramel, использованного в атаках на клиентов Centreon, не удалось. С другой стороны, эксперты утверждают, что операторы атаки использовали те же контрольные серверы, что и Sandworm.

При работе с бэкдорами операторы атаки пользовались общедоступными и коммерческими VPN-сервисами и анонимайзерами, в том числе сетью Tor, ExpressVPN, VPNBook и PrivateInetrnetAccess.

Профиль атаки на клиентов Centreon также напоминает об успешной операции, в центре которой оказался другой разработчик мониторингового ПО — SolarWinds; через него оказались атакованы многие другие организации, включая государственные органы США. Власти США спустя непродолжительное время прямо заявили, что за атакой стояли российские спецслужбы. Впрочем, позднее агентство Reuters указало, что клиентов SolarWinds также могли атаковать китайские госхакеры. Правда, те использовали уже совсем другие средства.

Для многолетних атак на провайдеров Европы использовался любимый бэкдор авторов вируса-вымогателя NotPetya

«Несмотря на все сходство, в ANSSI не берутся однозначно утверждать, кто стоял за атакой, и это легко объяснимо, — указывает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Атрибуция атак практически всегда является спорным, а в некоторых случаях еще и крайне политизированным вопросом. В практической же плоскости утверждения о принадлежности тех или иных инструментов определенной хакерской группировке доказать сложно, если возможно вообще. Как правило, в распоряжении экспертов — только косвенные улики. Даже если перехвачен основной вредонос, продвинутые группировки довольно часто используют чужие разработки, что дополнительно затрудняет определение истинного источника атак».

Flash окончательно изгонят из Windows. Пути назад больше нет

Microsoft выпустит обязательное крупное обновление 21H1 для Windows 10, которое принудительно удалит с компьютеров Flash Player. Отказаться от установки патчей нельзя – в системе отключена возможность блокировки автоматического обновления....

IDC: в 2020 году рост российского ИТ-рынка составил 14%

19:08 03.05.2021 |-nbsp;-nbsp; 474 ...

Стартап экс-замминистра связи создаст электротакси вместе с Uber

Uber и компания Arrival, созданная экс-замминистра связи Денисом Свердловым, разработают электротакси для пассажирских перевозок. Автомобиль будет создан с учетом потребностей водителей, проводящих большую часть жизни за рулем, но и про комфорт пасса...

«Яндекс» договорился о покупке банка

20:53 29.04.2021 |-nbsp;-nbsp; 2189 ...

Легендарная Yahoo продается за бесценок

Телеком-гигант Verizon продает пионеров американского интернета Yahoo и AOL за $5 млрд. Их он купил в 2017 г. и 2015 г. соответственно в сумме более чем за $9 млрд, и в итоге он продает их на $4,1 млрд дешевле. Прибыли эти компании ему не принесли – ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики | Каталог | Новости | Контакты |
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent [type=email], .rubcontent [type=submit]{display:block;margin:1px auto;}.rubcontent{display:block;line-height:25px;border-radius:5px 10px 0 0;border:1px solid #542437;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:20px;}.hidden, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}/*Карта сайта - свернуть/развернуть: ВСЕ - пока не все работает#checkbox_menu_all:checked + label + .cd-accordion-menu li ul{display:inline;}#checkbox_menu_all:checked + label + .cd-accordion-menu{display:none;}#checkbox_menu_all:checked + label + .cd-accordion-menu + .cd-accordion-menu_ya-share2{display:none;}*/@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202102Новости, 202102 → Загадочные хакеры много лет использовали для кибератак европейское ПО мониторинга ИТ-инфраструктуры