Загадочные хакеры много лет использовали для кибератак европейское ПО мониторинга ИТ-инфраструктуры

, Текст: Роман Георгиев

Разработки французской фирмы Centreon,возможно, использовались для атак на различных хостинг-провайдеров во Франции втечение трех-четырех лет. В атаках использовались вредоносы, родственные NotPetya.

Наиболее вероятный подозреваемый

Программные средствамониторинга ИТ-инфраструктуры, разработанные французской компанией Centreon, использовалисьхакерами для атак на другие организации. Исследователи французскогоНационального агентства по безопасности информационных систем (ANSSI) отметили, что злоумышленники,стоявшие за атаками, продемонстрировали modus operandi, напоминающий деятельность русскоязычнойшпионской группировки Sandworm. Впрочем, исследователи не решились утверждать,что речь идет именно о ней.

В 40-страничномисследовании, размещенном на сайте ANSSI, говорится, что атаки начались еще в 2017 г. ипродолжались до 2020 г. включительно. Большая часть жертв — это сервисные ИТ-фирмы, хостинг-провайдеры и другие компании из этого же сегмента. Их объединяетиспользование разработок Centreon, однако в ANSSI так и не смогли определить точно, каким именнообразом производилась первичная компрометация жертв. Речь идет либо обиспользовании некоей уязвимости в платформе Centreon, доступной для эксплуатации через веб, либо об«атаке через цепочку поставок», т. е. через заранее скомпрометированное ПО (втом числе, возможно, и разработку Centreon).

Centreon (это название и компании-разработчика, и самой платформы) — опенсорснаясистема, доступная под разными вариантами Linux. Ее распространяемые дистрибутивы, впрочем,настроены под операционную систему CentOS, которая также представляет собой дериватив Linux.

Все скомпрометированныезлоумышленниками и исследованные специалистами ANSSI серверы работали как раз под CentOS.

Непосредственные улики

На атакованные серверыустанавливались бэкдоры Exaramel и P.A.S. webshell. P.A.S., также известный как Fobushell. Это написанная на PHP программа авторства украинского студента Ярослава Панченко. Вполне легитимнаяизначально, эта утилита очень быстро приглянулась киберзлоумышленникам.

Когда в декабре 2016 г.Министерство внутренней безопасности США опубликовало доклад о предполагаемойатаке на избирательную систему страны, Fobushell версий 3.0.10 и 3.1.0 был обозначен как один изосновных инструментов атакующей стороны.

Последней официальнойверсией P.A.S. стала 4.1.1. Панченко, как утверждается висследовании ANSSI, впоследствии закрыл свой сайт, свернул разработку веб-шелла и связался свластями США. Однако множественные варианты P.A.S., естественно, продолжают циркулировать в Сети.

В атаках на клиентов Centreon использоваласьверсия P.A.S., в исходном коде которой обозначена версия3.1.4. В публичном доступе такой версии не было, скорее всего, организаторыатаки модифицировали исходный код P.A.S. под свои нужды, благо это не так сложно сделать.

Опасные связи

Еще любопытнее бэкдор Exaramel. Этим вредоносом, поданным экспертов фирмы ESET пользоваласьта же группировка, что стояла за шифровальщиком NotPetya. Разные вендоры средств безопасности обозначаютэту группировку как BlackEnergy, TeleBots или Sandworm. Exaramel представляет собой усовершенствованную версиюбэкдора Industroyer, с помощью которого была произведена атака на энергетическую инфраструктуруУкраины в конце 2016 г.

Как искусственный интеллект преобразует энергетический и нефтедобывающий сектора

Новое в СХД

Тем не менее, в анализе ANSSI указывается, что точноустановить происхождение двоичного файла Exaramel, использованного в атаках на клиентов Centreon, не удалось. Сдругой стороны, эксперты утверждают, что операторы атаки использовали те жеконтрольные серверы, что и Sandworm.

При работе с бэкдорамиоператоры атаки пользовались общедоступными и коммерческими VPN-сервисами ианонимайзерами, в том числе сетью Tor, ExpressVPN, VPNBookи PrivateInetrnetAccess.

Профиль атаки на клиентов Centreon также напоминает обуспешной операции, в центре которой оказался другой разработчик мониторинговогоПО — SolarWinds;через него оказались атакованы многиедругие организации, включая государственные органы США. Власти США спустянепродолжительное время прямо заявили, что за атакой стояли российскиеспецслужбы. Впрочем, позднее агентство Reuters указало, что клиентов SolarWinds также могли атаковать китайские госхакеры. Правда, те использовали уже совсем другие средства.

backdoor600.jpg

Для многолетних атак на провайдеров Европы использовался любимый бэкдор авторов вируса-вымогателя NotPetya

«Несмотря на все сходство, вANSSI не берутсяоднозначно утверждать, кто стоял за атакой, и это легко объяснимо, — указывает Дмитрий Кирюхин, эксперт поинформационной безопасности компании SEC Consult Services. — Атрибуция атак практически всегда является спорным,а в некоторых случаях еще и крайне политизированным вопросом. В практической жеплоскости утверждения о принадлежности тех или иных инструментов определеннойхакерской группировке доказать сложно, если возможно вообще. Как правило, враспоряжении экспертов — только косвенные улики. Даже если перехвачен основнойвредонос, продвинутые группировки довольно часто используют чужие разработки,что дополнительно затрудняет определение истинного источника атак».


СЛЕДУЮЩИЙ МАТЕРИАЛ РАЗДЕЛА "IT"