APT skupina roky zneužíva Centreon na kompromitáciu organizácií
Francúzska bezpečnostná agentúra ANSSI odhalila kampaň podobnú afére SolarWinds z decembra 2020. Útočníci kompromitovali siete organizácií cez servery s platformou Centreon, slúžiace na monitorovanie IT infraštruktúry. Medzi poškodené organizácie patria najmä prevádzkovatelia webhostingových služieb. Stopy vedú k ruskej APT skupine Sandworm.
Opis činnosti
Francúzska národná agentúra pre bezpečnosť informačných systémov (ANSSI) informovala o svojom vyšetrovaní niekoľko rokov trvajúcej kampane, pri ktorej útočníci prenikli neznámym spôsobom na servery s inštaláciou monitorovacieho nástroja Centreon. ANSSI túto kampaň spája s ruskou vojenskou APT skupinou Sandworm (známou tiež ako Voodoo Bear, či BlackEnergy) na základe použitej C&C infraštruktúry. Agentúra odhalila prieniky do systémov viacerých francúzskych spoločností, najmä poskytovateľov webhostingu, ktoré nastali v priebehu rokov 2017 až 2020.
Na kompromitovaných serveroch Centreon vystavených do internetu vytvorili útočníci dva typy zadných vrátok. Jedným je webshell P.A.S. verzie 3.1.4, druhým RAT Exaramel. Útočníci tak získali kontrolu nad kompromitovanými systémami a sieťami, v ktorých boli zapojené. Mohli sťahovať, odosielať a upravovať súbory, vyhľadávať v súborovom systéme, vzdialene vykonávať príkazy, interagovať s databázami SQL a spúšťať brute force útoky na heslá. Komunikácia s C&C infraštrukúrou prebiehala cez protokol HTTPS.
Najnovšia verzia Centreon na odhalených kompromitovaných serveroch bola 2.5.2. Útok bol zameraný na platformu podobnú SolarWinds, no podľa všetkého sa v tomto prípade nejednalo o útok cez dodávateľov.
Odporúčania
Pokiaľ máte nasadenú inštanciu platformy Centreon, odporúčame skontrolovať, či nedošlo ku kompromitácii servera (IoC v analýze ANSSI). Taktiež na základe analýzy agentúry ANSSI odporúčame nevystavovať webové rozhrania monitorovacích platforiem do internetu.
Odkazy
https://thehackernews.com/2021/02/hackers-exploit-it-monitoring-tool.html
https://www.zdnet.com/article/france-russian-state-hackers-targeted-centreon-servers-in-years-long-campaign/
https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf