Három évig férhettek hozzá hackerek a Centreon-szerverekhez
A rendszerfelügyeleti megoldásokat kínáló cég több ügyfele is érintett lehet a támadásban.
Éveken keresztül támadták különböző vállalatok rendszereit hackerek a francia Centreon monitoring szoftverén keresztül - számolt be a Reuters a francia nemzeti kiberbiztonsági ügynökség (ANSSI) tájékoztatására hivatkozva. A hatóság egyelőre nem tudta pontosan azonosítani a támadókat, ugyanakkor az akció a jelenlegi információk szerint erősen a Sandworm néven emlegetett orosz, katonai hátterű hackercsapat módszereit idézi.
A párizsi székhelyű, 2003-ban alapított Centreon nyílt forrású szoftvercsomagot kínál, komplett IT infrastruktúrák és alkalmazáspaletták felügyeletére - a cég termékeit weboldala szerint havi 15 ezer alkalommal töltik le. A vállalat ügyfelei között világszerte mintegy 600 nagyvállalat található - mások mellett a francia Igazságügyi Minisztérium is a Centreon felhasználója.
Egyelőre kérdéses, hogy az elkövetőknek milyen támadási felületen sikerült beférkőzniük a monitoring szoftverbe - ugyanakkor az ANSSI szerint az már tudható, hogy a tavaly lezárult kampányban az illetéktelen hozzáférések egészen 2017-ig nyúlnak vissza. A hatóság egyelőre nem közölte, hány áldozata lehet a támadásnak, az ugyanakkor ismert, hogy az akció ugyanakkor célpontjai főleg IT szolgáltatócégek, köztük internetszolgáltatók voltak. Az ANSSI közleménye szerint a megcélzott, online kapcsolattal rendelkező Centreon szervereken a támadók, két backdoort is elhelyeztek, ezek egyikét egy webshell formájában, míg a másik egy Exaramel névre hallgató, az ESET biztonsági cég által már 2018 óta ismert kártevőre épített.
Nálatok lakik-e rezsidémon? Az okosotthon-rendszerek ma már nem számítanak úri huncutságnak. Itt a friss weekly adás!
Az akcióért az ANSSI szerint jó eséllyel felelős Sandworm hackercsapat korábban már több nagy kaliberű támadást is végrehajtott, ahogy a ZDNet kiemeli, a formáció nevéhez fűződik egyebek mellett a 2017-es NotPetya ransomware kampány, az ukrán villamoshálózati infrastruktúra elleni 2015-ös és 2016-os támadások, illetve a 2018-as téli olimpia nyitóceremóniáját megzavaró akció is.
A Centreon ügy erősen emlékeztet a tavaly év végén napvilágot látott Solarwinds botrányra, amelynek során - feltételezhetően szintén orosz állami hátterű támadók - ugyancsak egy beszállító, egész pontosan a texasi székhelyű Solarwinds szoftverét megfertőzve jutottak be Fortune 500 cégek, illetve az USA állami intézményeinek rendszereibe, ahol jó 9 hónapig észrevétlenül tudtak ténykedni.