Francia vincula al gusano de arena ruso con una locura de hackers de varios años

0
12
Acercarse / El logo de la agencia nacional francesa para la seguridad de la información Agence Nationale de la securite des systemes d ‘information (ANSSI) recogido en la sede de ANSSI en París.

Los piratas informáticos militares rusos conocidos como Sandworm, responsables de todo, desde apagones en Ucrania hasta NotPetya, el malware más destructivo de la historia, carecen de reputación por su discreción. Pero una agencia de seguridad francesa ahora advierte que los piratas informáticos con herramientas y técnicas vinculadas a Sandworm han pirateado sigilosamente objetivos en ese país utilizando una herramienta de monitoreo de TI llamada Centreon, y parece que lograron salirse con la suya sin ser detectados durante tres años.

El lunes, la agencia francesa de ciberseguridad ANSSI emitió un aviso advirtiendo que los piratas informáticos con vínculos con Sandworm, un grupo dentro de la agencia de inteligencia militar rusa GRU, habían violado varias organizaciones francesas. La agencia describe a estas víctimas como «principalmente» empresas de TI y empresas de alojamiento web en particular. Sorprendentemente, ANSSI afirma que la campaña de intrusión se remonta a fines de 2017 y continuó hasta 2020. En estas brechas, los piratas informáticos parecen haber comprometido los servidores que ejecutan Centreon, que vende la empresa con sede en París del mismo nombre.

Francia vincula al gusano de arena ruso con una locura de hackers de varios años 1

Aunque ANSSI afirma que no pudo identificar cómo se piratearon esos servidores, encontró dos malware diferentes en ellos: una puerta trasera disponible públicamente llamada PAS y otra conocida como Exaramel, que la compañía eslovaca de ciberseguridad Eset ha localizado a Sandworm usando en intrusiones anteriores. Aunque los grupos de piratas informáticos reutilizan el malware de los demás, a veces intencionalmente para engañar a los investigadores, la agencia francesa también afirma haber visto una superposición en los servidores de comando y control utilizados en la campaña de piratería de Centreon y en incidentes de piratería anteriores de Sandworm.

Si bien está lejos de estar claro lo que los piratas informáticos Sandworm podrían haber significado en la larga campaña de piratería francesa, cualquier intrusión de Sandworm genera alarmas entre aquellos que han visto los resultados del trabajo anterior del grupo. «Sandworm está conectado a operaciones destructivas», dice Joe Slowik, un investigador de la firma de seguridad DomainTools que ha estado monitoreando las actividades de Sandworm durante años, incluido un ataque a la red eléctrica de Ucrania donde apareció una variante temprana de la puerta trasera Exaramel de Sandworm. «Si bien no se conoce el final de esta campaña documentado por las autoridades francesas, el hecho de que se desarrolle es preocupante, porque el objetivo final de la mayoría de las operaciones de Sandworm es causar un efecto disruptivo significativo. Debemos prestar atención».

ANSSI no ha identificado a las víctimas de la campaña de piratería. Pero una página en el sitio web de Centreon enumera clientes, incluidos los proveedores de telecomunicaciones Orange y OptiComm, la consultora de TI CGI, la empresa de defensa y aeroespacial Thales, la empresa siderúrgica y minera ArcelorMittal, Airbus, Air France KLM, la empresa de logística Kuehne + Nagel, la empresa de energía nuclear EDF y el departamento de justicia francés.

Los clientes de Centreon ahorraron dinero

Sin embargo, en una declaración enviada por correo electrónico el martes, un portavoz de Centreon escribió que ningún cliente real de Centreon se vio afectado por la campaña de piratería. En cambio, la compañía afirma que las víctimas estaban usando una versión de código abierto del software de Centreon que la compañía no ha admitido durante más de cinco años, y afirma que se implementó de manera insegura, lo que incluye permitir conexiones desde fuera de la red de la organización. El comunicado también señala que ANSSI contó «sólo unos quince» de los objetivos de intrusión. «Centreon está contactando actualmente a todos sus clientes y socios para ayudarlos a verificar que sus instalaciones estén actualizadas y cumplan con las pautas ANSSI para un sistema de información saludable», agrega el comunicado. «Centreon recomienda que todos los usuarios que aún tengan una versión desactualizada de su software de código abierto en producción la actualicen a la última versión o se comuniquen con Centreon y su red de socios certificados».

Algunos en la industria de la ciberseguridad interpretaron inmediatamente el informe de ANSSI como otro ataque a la cadena de suministro de software del tipo realizado contra SolarWinds. En una campaña de piratería masiva revelada a fines del año pasado, los piratas informáticos rusos modificaron la aplicación de monitoreo de TI de esa compañía y se extendió a un número aún desconocido de redes que incluyen al menos media docena de agencias federales de EE.

Pero el informe de ANSSI no menciona un compromiso en la cadena de suministro y Centreon escribe en su declaración que «esto no es un ataque a la cadena de suministro y en este caso no se puede establecer un paralelo con otros ataques de este tipo». De hecho, Slowik de DomainTools dice que las intrusiones parecen haberse llevado a cabo simplemente mediante la explotación de servidores conectados a Internet que ejecutan el software de Centreon dentro de las redes de las víctimas. Señala que esto estaría en línea con otra advertencia de Sandworm que la NSA emitió en mayo del año pasado: la agencia de inteligencia advirtió que Sandworm estaba pirateando máquinas con acceso a Internet que ejecutan el cliente de correo Exim, que se ejecuta en un servidor Linux. Dado que el software de Centreon se ejecuta en CentOS, que también se basa en Linux, las dos advertencias indican un comportamiento similar durante el mismo período de tiempo. «Ambas campañas en paralelo, durante el mismo período de tiempo, se utilizaron para identificar los servidores externos vulnerables que ejecutan Linux para el acceso inicial o el movimiento dentro de las redes de las víctimas», dice Slowik. (A diferencia de Sandworm, que ha sido ampliamente identificado como parte del GRU, los ataques de SolarWinds también deben estar vinculados permanentemente a una agencia de inteligencia específica, aunque las empresas de seguridad y la comunidad de inteligencia de EE. UU. Han atribuido la campaña a piratear al gobierno ruso).

«Prepárate para el impacto»

Aunque Sandworm ha centrado muchos de sus ciberataques más conocidos en Ucrania, incluido el gusano NotPetya que se propagó desde Ucrania y causó daños por valor de 10.000 millones de dólares a nivel mundial, GRU no ha rehuido atacar agresivamente objetivos franceses en el pasado. En 2016, los piratas informáticos de GRU haciéndose pasar por extremistas islámicos destruyeron la red de la cadena de televisión francesa TV5, eliminando 12 canales. Al año siguiente, los piratas informáticos de GRU, incluido Sandworm, llevaron a cabo una operación de pirateo y filtración de correos electrónicos con la intención de sabotear la campaña presidencial del candidato presidencial francés Emmanuel Macron.

Si bien esos efectos disruptivos no parecen haber sido causados ​​por la campaña de piratería descrita en el informe de ANSSI, las intrusiones de Centreon deberían servir como advertencia, dice John Hultquist, vicepresidente de inteligencia de la firma de seguridad FireEye, cuyo equipo de investigadores llamó por primera vez a Sandworm en 2014. Tenga en cuenta que FireEye aún tiene que atribuir intrusiones a Sandworm independientemente de ANSSI, pero también advierte que es demasiado pronto para decir que la campaña ha terminado. «Esto puede ser una recopilación de información, pero Sandworm tiene una larga historia de actividad que debemos considerar», dice Hultquist. «Siempre que encontremos Sandworm con acceso libre durante un período de tiempo prolongado, debemos prepararnos para el impacto».

Esta historia apareció originalmente en wired.com.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí