IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

France : Les hackers de l'État russe ont ciblé les serveurs Centreon dans le cadre d'une campagne qui a duré des années
Un rapport de l'ANSSI expose ces nouvelles attaques du groupe Sandworm

Le , par Nancy Rey

118PARTAGES

8  0 
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a déclaré qu'un groupe de pirates militaires russes, connu sous le nom de groupe Sandworm, est à l'origine d'une opération de trois ans au cours de laquelle ils ont pénétré dans les réseaux internes de plusieurs entités françaises utilisant le logiciel de surveillance informatique Centreon. Cette campagne, qui ciblait le logiciel de supervision Centreon (édité par la société française du même nom), a principalement touché des prestataires de services informatiques, notamment d’hébergement web et a déclenché de nouvelles discussions sur la sécurité de la chaîne d'approvisionnement des logiciels.

Les attaques ont été détaillées dans un rapport technique publié hier par l'Agence Nationale de la Sécurité des Systèmes d'Information, également connue sous le nom d'ANSSI, la principale agence de cybersécurité du pays. « Cette opération a surtout touché les fournisseurs de technologies de l'information, en particulier les hébergeurs de sites web. La première victime semble avoir été compromise à partir de la fin de 2017. La campagne a duré jusqu'en 2020 », ont déclaré aujourd'hui les responsables de l'ANSSI.


Le point d'entrée dans les réseaux des victimes était lié à Centreon, une plateforme de surveillance des ressources informatiques et un produit similaire en termes de fonctionnalités à la plateforme Orion de SolarWinds. Selon l'ANSSI, les attaquants ont ciblé les systèmes Centreon qui sont restés connectés à Internet. L'agence française n’ a pas spécifié si les attaques exploitaient une vulnérabilité du logiciel Centreon ou si les attaquants avaient deviné les mots de passe des comptes d'administration.

Cependant, L’ANSSI a constaté sur les systèmes compromis l’existence d’une porte dérobée de type webshell, déposée sur plusieurs serveurs Centreon exposés sur internet. Cette porte dérobée a été identifiée comme étant le webshell P.A.S. dans sa version 3.1.4. Sur ces mêmes systèmes, l’ANSSI a ensuite identifié la présence d’une autre porte dérobée nommée Exaramel. Ces deux souches de logiciels malveillants utilisés ensemble ont permis aux pirates de contrôler totalement le système compromis et son réseau adjacent.


L'ANSSI a déclaré « Cette campagne présente de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm », et dans une rare mesure confie avoir réussi à relier ces attaques au groupe Sandworm.

En octobre 2020, le ministère américain de la Justice a formellement accusé six officiers militaires russes de leur participation à des cyberattaques orchestrées par ce groupe, liant officiellement Sandworm à l'unité 74455 de la Direction principale du renseignement russe (GRU), un service de renseignement militaire faisant partie de l'armée russe. Parmi les cyberattaques menées précédemment par ce groupe, citons les pannes de réseau électrique en Ukraine en 2015 et 2016, les attaques au wiper NotPetya en 2017, les attaques de la cérémonie d'ouverture des Jeux olympiques d'hiver de PyeongChang en 2018 et la destruction massive de sites web géorgiens en 2019. En outre, le ministère américain de la Justice a également lié ce groupe à des attaques contre la France, notamment les cyberattaques contre le mouvement En marche! qui a porté Emmanuel Macron à la tête de la France.

L'agence a également découvert que des serveurs connus contrôlés par Sandworm étaient utilisés dans le cadre de l'infrastructure de commandement et de contrôle pour les infiltrations d'entités françaises et européennes qui ont eu lieu il y a quatre ans. « D'une manière générale, on sait que l'ensemble d'intrusion Sandworm mène des campagnes d'intrusion conséquentes avant de se concentrer sur des cibles spécifiques qui correspondent à ses intérêts stratégiques au sein du pool de victimes. La campagne observée par l'ANSSI correspond à ce comportement », a déclaré l'agence.

Par la publication de son rapport, l'ANSSI met en garde et exhorte les organisations françaises et internationales à inspecter leurs installations Centreon pour détecter la présence des deux souches de logiciels malveillants P.A.S. et Exaramel. L'agence a également publié une série de recommandations à l'intention des organisations afin de barrer la voie au groupe Sandworm et les autres groupes de même type. Il s'agit notamment d'améliorer la gestion des correctifs, de durcir les serveurs et de limiter l'exposition des systèmes de surveillance.

« Les systèmes de surveillance tels que Centreon doivent être fortement imbriqués avec le système d'information surveillé et sont donc une cible privilégiée pour les ensembles d'intrusion cherchant à se latéraliser. Il est recommandé soit de ne pas exposer les interfaces web de ces outils à l'Internet, soit de limiter cet accès en utilisant une authentification non applicative (certificat client TLS, authentification de base sur le serveur web) », a ajouté l'agence.

Malgré la similarité des fonctionnalités entre Centreon et les applications SolarWinds Orion, les attaques de Centreon semblent être une exploitation opportuniste des systèmes exposés à Internet plutôt qu'une attaque de la chaîne d'approvisionnement, comme l'ont souligné aujourd'hui plusieurs experts en sécurité sur Twitter. Timo Stephens qui travaille dans une agence allemande de cyberespionnage a déclaré : « Depuis plus de trois ans, Sandworm utilise des webshells et la version Linux de la porte dérobée Exaramel contre des entités françaises sans être détecté. Le vecteur d'attaque initial n'est pas clair, mais des logiciels malveillants ont été trouvés sur des serveurs fonctionnant sous Centreon (vulnérabilité plus probable que la chaîne d'approvisionnement) ».

Source : ANSSI, Twitter

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

La NSA alerte sur une vague de cyberattaques contre les serveurs Exim, par le groupe russe Sandworm

Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées

Les USA inculpent six agents du renseignement militaire russe pour une série de cyberattaques majeures, dont le wiper NotPetya et l'attaque contre le parti français En marche ! en 2017

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Refuznik
Membre éclairé https://www.developpez.com
Le 16/02/2021 à 16:34
Il serait utile d’éviter de relayer sans les analyser les publications en mode « whitepaper » de l’ANSSI.
En l’état, la « faille » vient d’une version de Centreon de AOUT 2014.
Qui n’a donc jamais été mise à jour depuis.
Et qui avait une CVE Sev10 depuis OCTOBRE 2014. Et corrigée en Octobre 2014 avec la release 2.5.3

Dans ces conditions, cette annonce de l’ANSSI est proche du ridicule.

D'ailleurs Centreon a répondu là-dessus : « Nous demandons à l’Anssi des éclaircissements sur ses méthodes d’investigation et sur les modifications apportées à nos solutions open source », a plaidé le porte-parole de Centreon, dénonçant une « mise en cause extrêmement dommageable » pour l’entreprise.

===

Par contre, vous pouvez vous amuser sur les GROS soucis de traductions de cette publication:

Les serveurs compromis identifiés par l’ANSSI étaient sous le système d’exploitation CENTOS. Les installations de l’outil Centreon n’avaient pas été tenues à jour. Ainsi, sur les systèmes compromis étudiés, la version de Centreon la plus récente identifiée est la 2.5.2.

vs

Compromised servers identified by ANSSI ran the CENTOS operating system. Centreon was recently updated. The most recent installation version studied by ANSSI was 2.5.2.

C’est un epic fail.
4  0 
Avatar de gabriel21
Membre chevronné https://www.developpez.com
Le 18/02/2021 à 9:14
Citation Envoyé par schlebe Voir le message
En effet, s'il s'agit d'Open Source, il suffit que Poutine ait demandé à Trump d'accepter des russes dans l'équipe de gestion du logiciel CentOS.
Il est évident qu'avec son "American First", Trump aurait accepté. Ensuite, CentOS est contrôlé par Red Hat qui lui même appartient à IBM qui au dernière nouvelle n'a jamais était très proche de Trump. C'est quoi ce délire paranoïaque que l'Open Source est aux ordres d'un état. Faut arrêter avec les complotistes...
Citation Envoyé par schlebe Voir le message
Si l'on veut véritablement disposer d'un OS Open Source sûre à 100%, il faut alors vérifier tout le code Open Source soit même.
Cela vaut aussi avec un OS propriétaire. Du toute les façons, on est bien servi que par soi-même.
<mode ironie>La confiance n'existe pas, tout pays, toute personne est un meurtrier et un espion en puissance. Relançons la bonne vielle chasse au sorcière et brûlons tous les ennemis de la démocratie</mode ironie>
2  0 
Avatar de gabriel21
Membre chevronné https://www.developpez.com
Le 16/02/2021 à 12:50
Depuis les années 2010, la Russie fait des attaques symétriques sur les membres de l'OTAN, avec une petite préférence pour réutiliser les armes de l'alliance. Par conséquent, qu'ont fait les services d'état français contre les institutions et les sociétés russes à cette époque?

Ah la cyberguerre, c'est une arme tout à fait respectable quand elle est utilisé par les défenseurs de la démocratie, mais un scandale quand les autres l'utilisent. Et vu que nos politiques se targuent tous d'autoriser les attaques cyber sans autres raisons que leur bon vouloir, cela promets bien des rebondissements, digne d'une série grand public à rallonge. Préparez le pop corn et les sodas, à moins que vous soyez plutôt saucissons et vin rouge...

Plus sérieusement le rapport de l'ANSSI est bien fait. Il s'attarde sur les méthodes utilisées et ne parle peu de l'origine (1/2i page sur un rapport de 40). Plus quelques conseils en matière de détections et de sécurisation.
1  1 
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 16/02/2021 à 15:26
Vicoi les divers réflexions que cela m'insipire...

  1. C'est si dur que ça de mettre Centréon derrière le pare-feu et mettre une règle pour qu'ils puisse faire ses checks en DMZ ?
  2. Certains admins aiment un peu trop pouvoir bosser depuis chez eux
  3. Stagiaiiiiiire
2  2 
Avatar de darklinux
Membre extrêmement actif https://www.developpez.com
Le 18/02/2021 à 9:30
Tous ça à cause de sys admin qui non pas fait leurs travaux
0  0 
Avatar de schlebe
Membre actif https://www.developpez.com
Le 18/02/2021 à 8:19
En effet, s'il s'agit d'Open Source, il suffit que Poutine ait demandé à Trump d'accepter des russes dans l'équipe de gestion du logiciel CentOS.

A partir de là, toutes les équipes russes ont pu travailler pour magouiller une version de CentOS perméable à toutes les requêtes russes.

Ce code pourri est resté dans le code Open Source opérationnel aussi longtemps que personne n'a découvert ce que cela faisait.

Pour pourrir un logiciel Open Source, il n'est pas nécessaire de modifier son code, cela est également possible en modifiant un des nombreux sous code utilisés en Java (voir repository Maven).

Si l'on veut véritablement disposer d'un OS Open Source sûre à 100%, il faut alors vérifier tout le code Open Source soit même.

C'est le prix à payer si l'on ne veut rien payer en passant par Linux.
0  6