Cyberattaque de près de trois ans contre des entités françaises - MàJ

Le par Jérôme G.  |  14 commentaire(s)
hacker

Des entités françaises ont été les victimes d'une campagne de cyberattaque au long cours. Une intrusion via la solution de supervision Centreon et un mode opératoire de type Sandworm qui renvoie à un groupe de cyberespionnage russe.

MàJ : Suite à la parution du rapport de l'Anssi, Centreon apporte des précisions. " L'attaque concerne une version open source obsolète du logiciel, déployée sans respect des recommandations d'hygiène de l'Anssi. Les clients de Centreon ne sont pas concernés. " Centreon confirme par ailleurs ne pas avoir distribué ou contribué à propager du code malveillant.

-----

Dans un rapport technique (PDF), l'Agence nationale de la sécurité des systèmes d'information (Anssi) dévoile l'existence d'une cyberattaque ayant touché plusieurs entités françaises. Elle a ciblé la solution de supervision d'applications, de réseaux et de systèmes Centreon proposée par l'entreprise de même nom.

Air France, Airbus, EDF, Orange, RATP, Thales ou encore Total sont quelques-uns des noms ayant recours à Centreon, ainsi que le ministère de la Justice. Centreon revendique plus de 600 clients dans le monde, dont 70 % ayant un siège en France.

Le gendarme de la cybersécurité en France évoque des compromissions identifiées fin 2017 et jusqu'en 2020. Il s'agit donc d'une découverte tardive, ce qui est le signe d'une campagne de cyberattaque particulièrement discrète.

Deux backdoors après intrusion

Selon l'Anssi, la campagne de compromission a principalement touché des prestataires de services informatiques, notamment d'hébergement web. Sur des serveurs affectés - exposés sur internet - fonctionnant avec CentOS et avec des installations de Centreon qui n'étaient pas tenues à jour, il a été découvert deux portes dérobées.

webshell-p.a.swebshell P.A.S.

Une backdoor de type webshell (accès et contrôle à distance à un serveur web depuis une interface) dénommée P.A.S. et une backdoor du nom de Exaramel (un outil d'administration à distance) en version Linux. Ce nom de Exaramel a été attribué par ESET.

Le vecteur d'attaque initial demeure toutefois une interrogation. L'Anssi écrit en effet que " le chemin de compromission initiale exploité par l'attaquant n'est pas connu. " Vulnérabilité dans Centreon ? Compromission de mots de passe d'administrateurs ? Attaque de chaîne d'approvisionnement comme pour SolarWinds ?

Le nom d'un groupe russe de cyberespionnage ressort

L'Anssi souligne des liens avec le mode opératoire Sandworm (également connu en tant que TeleBots), essentiellement en raison de la présence de l'outil Exaramel. Elle se garde d'aller plus loin, mais la seule évocation de Sandworm est déjà un indice.

Sandworm renvoie à un groupe de cyberespionnage qui agirait sous la houlette des renseignements militaires russes. En octobre dernier, les États-Unis ont inculpé six officiers russes présentés comme des membres de Sandworm. Quatre d'entre eux seraient notamment impliqués dans la cyberattaque destructrice NotPetya en 2017. Un individu est également accusé de campagnes de spear phishing et fuites de données ayant visé la campagne présidentielle d'Emmanuel Macron entre avril et mai 2017.

Pour la campagne d'attaque avec mode opératoire Sandworm et ciblant des serveurs Centreon, l'Anssi publie des indicateurs de compromission. Elle recommande de mettre à jour les applications, limiter l'exposition Internet des outils de supervision et renforcer la sécurité des serveurs.


  • Partager ce contenu :
Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
LinuxUser Absent VIP icone 13985 points
Le #2121927
On met a jour, et surtout on segmente, il va falloir expliquer l'intérêt de donner l'accès aux plateformes de supervision via internet.
L'accès via internet c'est pour la communication et les services vers/depuis l'extérieur (site web, portail client/partenaire/fournisseur, vpn, échanges divers...), c'est tout.
Pour le reste, on fait en interne, ou on passe par le vpn.

Si on doit remonter des éléments d'un parc réparti sur plusieurs sites, soit on a un réseau dédié entre les sites, soit, si on doit absolument passer par internet, bah la aussi vpn.

Narcos Absent VIP icone 21393 points
Le #2121928
Je sens qu'un jour prochain on aura malheureusement une attaque majeure qui anéantira beaucoup de grosses boites....
sansimportance Hors ligne VIP icone 7381 points
Le #2121941
LinuxUser a écrit :

On met a jour, et surtout on segmente, il va falloir expliquer l'intérêt de donner l'accès aux plateformes de supervision via internet.
L'accès via internet c'est pour la communication et les services vers/depuis l'extérieur (site web, portail client/partenaire/fournisseur, vpn, échanges divers...), c'est tout.
Pour le reste, on fait en interne, ou on passe par le vpn.

Si on doit remonter des éléments d'un parc réparti sur plusieurs sites, soit on a un réseau dédié entre les sites, soit, si on doit absolument passer par internet, bah la aussi vpn.


Si j'ai bien lu l'attaque à eue lieu via des backdoor, donc des trucs non documentés et secrets, réservés au dev. Donc, toujours si je ne m'abuse, c'est une (très grosse) faute de la part de Centreon, non ?
LinuxUser Absent VIP icone 13985 points
Le #2121973
sansimportance a écrit :

LinuxUser a écrit :

On met a jour, et surtout on segmente, il va falloir expliquer l'intérêt de donner l'accès aux plateformes de supervision via internet.
L'accès via internet c'est pour la communication et les services vers/depuis l'extérieur (site web, portail client/partenaire/fournisseur, vpn, échanges divers...), c'est tout.
Pour le reste, on fait en interne, ou on passe par le vpn.

Si on doit remonter des éléments d'un parc réparti sur plusieurs sites, soit on a un réseau dédié entre les sites, soit, si on doit absolument passer par internet, bah la aussi vpn.


Si j'ai bien lu l'attaque à eue lieu via des backdoor, donc des trucs non documentés et secrets, réservés au dev. Donc, toujours si je ne m'abuse, c'est une (très grosse) faute de la part de Centreon, non ?


Les backdoors ne sont pas forcément des trucs non documentés réservés au devs.
Des backdoors de ce type existent bien entendu (même si c'est très mal et en dehors de tout bon sens, et c'est pour cela que c'est relativement rare, et heureusement, mais passons).
Les hackers sont entrés grâce a une faille du logiciel (confirmé par la MAJ de l'article), via celle-ci, ils ont ensuite mis en place (installé ) 2 backdoors: une qui permet d'avoir un shell système au travers du site web, et une à laquelle on accède via un logiciel d'administration à distance.

Cela leur permis de revenir, même en cas de MAJ de Centreon qui aurait comblé la faille initiale.

Une backdoor, c'est juste une "porte de derrière", dans certains cas l'éditeur en met (encore une fois, ce n'est pas bien du tout), mais généralement ce sont les pirates qui en mettent sur un système compromis pour pouvoir revenir ensuite de manière certaine et plus simplement que ré-exploiter la faille à chaque fois (au risque qu'elle ne soit plus la).

En gros, tu es un voleur: la première fois tu fais une effraction dans une maison (tu casses la fenêtre), tu voles tout, mais tu en profites pour mettre une entrée secrète connue de toi seul.
Tu peux ensuite revenir via cette entrée, même si la fenêtre est réparée, renforcée et sécurisée.

Les backdoors des éditeurs sont rares, et plus encore dans les logiciels libres (mais oui ça existe aussi, fatalement), parce que le premier qui voit un truc du genre dans le code va irrémédiablement ruiner la réputation du projet. Avec un logiciel non libre, il est beaucoup plus difficile de trouver une backdoor si elle existe (mais heureusement cela arrive, et ça permet je l'espère de réfréner ce genre de pratique irresponsable).
Le nid a backdoor de l'open-source, c'est npm, facile de coder un petit truc utile a plein de monde, et mettre une backdoor dedans, même si elle est découverte, ça ruinera pas des années de travail. Ce problème est sujet à discussion.
Narcos Absent VIP icone 21393 points
Le #2121981
Dans beaucoup d'entreprises, les investissements de protections contre la cyber criminalité sont rarement à la hauteur des enjeux....le risque est souvent mal apprécié, l'architecture des systèmes informatiques sont souvent mal définis, donc pas d'analyse de risques...pas d'autorisations différentes entre les données publiques et les données sensibles...

Aujourd’hui, toutes les entreprises et institutions travaillent avec des systèmes informatiques où circulent des flux de données. ​Un système est comme un château, avec des portes et des fenêtres permettant de communiquer. L'idée est d’éviter que des données privées ne sortent du château. Et que des cyberattaques n’y entrent.
sansimportance Hors ligne VIP icone 7381 points
Le #2121994
LinuxUser a écrit :

sansimportance a écrit :

LinuxUser a écrit :

On met a jour, et surtout on segmente, il va falloir expliquer l'intérêt de donner l'accès aux plateformes de supervision via internet.
L'accès via internet c'est pour la communication et les services vers/depuis l'extérieur (site web, portail client/partenaire/fournisseur, vpn, échanges divers...), c'est tout.
Pour le reste, on fait en interne, ou on passe par le vpn.

Si on doit remonter des éléments d'un parc réparti sur plusieurs sites, soit on a un réseau dédié entre les sites, soit, si on doit absolument passer par internet, bah la aussi vpn.


Si j'ai bien lu l'attaque à eue lieu via des backdoor, donc des trucs non documentés et secrets, réservés au dev. Donc, toujours si je ne m'abuse, c'est une (très grosse) faute de la part de Centreon, non ?


Les backdoors ne sont pas forcément des trucs non documentés réservés au devs.
Des backdoors de ce type existent bien entendu (même si c'est très mal et en dehors de tout bon sens, et c'est pour cela que c'est relativement rare, et heureusement, mais passons).
Les hackers sont entrés grâce a une faille du logiciel (confirmé par la MAJ de l'article), via celle-ci, ils ont ensuite mis en place (installé ) 2 backdoors: une qui permet d'avoir un shell système au travers du site web, et une à laquelle on accède via un logiciel d'administration à distance.

Cela leur permis de revenir, même en cas de MAJ de Centreon qui aurait comblé la faille initiale.

Une backdoor, c'est juste une "porte de derrière", dans certains cas l'éditeur en met (encore une fois, ce n'est pas bien du tout), mais généralement ce sont les pirates qui en mettent sur un système compromis pour pouvoir revenir ensuite de manière certaine et plus simplement que ré-exploiter la faille à chaque fois (au risque qu'elle ne soit plus la).

En gros, tu es un voleur: la première fois tu fais une effraction dans une maison (tu casses la fenêtre), tu voles tout, mais tu en profites pour mettre une entrée secrète connue de toi seul.
Tu peux ensuite revenir via cette entrée, même si la fenêtre est réparée, renforcée et sécurisée.

Les backdoors des éditeurs sont rares, et plus encore dans les logiciels libres (mais oui ça existe aussi, fatalement), parce que le premier qui voit un truc du genre dans le code va irrémédiablement ruiner la réputation du projet. Avec un logiciel non libre, il est beaucoup plus difficile de trouver une backdoor si elle existe (mais heureusement cela arrive, et ça permet je l'espère de réfréner ce genre de pratique irresponsable).
Le nid a backdoor de l'open-source, c'est npm, facile de coder un petit truc utile a plein de monde, et mettre une backdoor dedans, même si elle est découverte, ça ruinera pas des années de travail. Ce problème est sujet à discussion.


OK, merci, je n'avais pas compris ça comme ça.
JOJOlapinNo2 Absent Héroïque icone 588 points
Le #2122006
La France est une passoire depuis
La defaite de Napoleon à Waterloo
Usernet Hors ligne Habitué icone 199 points
Le #2122008
L'image me fait repenser à C99shell
Cette époque lol
cityhunter67 Hors ligne Vétéran icone 1721 points
Le #2122112
LinuxUser a écrit :

sansimportance a écrit :

LinuxUser a écrit :

On met a jour, et surtout on segmente, il va falloir expliquer l'intérêt de donner l'accès aux plateformes de supervision via internet.
L'accès via internet c'est pour la communication et les services vers/depuis l'extérieur (site web, portail client/partenaire/fournisseur, vpn, échanges divers...), c'est tout.
Pour le reste, on fait en interne, ou on passe par le vpn.

Si on doit remonter des éléments d'un parc réparti sur plusieurs sites, soit on a un réseau dédié entre les sites, soit, si on doit absolument passer par internet, bah la aussi vpn.


Si j'ai bien lu l'attaque à eue lieu via des backdoor, donc des trucs non documentés et secrets, réservés au dev. Donc, toujours si je ne m'abuse, c'est une (très grosse) faute de la part de Centreon, non ?


Les backdoors ne sont pas forcément des trucs non documentés réservés au devs.
Des backdoors de ce type existent bien entendu (même si c'est très mal et en dehors de tout bon sens, et c'est pour cela que c'est relativement rare, et heureusement, mais passons).
Les hackers sont entrés grâce a une faille du logiciel (confirmé par la MAJ de l'article), via celle-ci, ils ont ensuite mis en place (installé ) 2 backdoors: une qui permet d'avoir un shell système au travers du site web, et une à laquelle on accède via un logiciel d'administration à distance.

Cela leur permis de revenir, même en cas de MAJ de Centreon qui aurait comblé la faille initiale.

Une backdoor, c'est juste une "porte de derrière", dans certains cas l'éditeur en met (encore une fois, ce n'est pas bien du tout), mais généralement ce sont les pirates qui en mettent sur un système compromis pour pouvoir revenir ensuite de manière certaine et plus simplement que ré-exploiter la faille à chaque fois (au risque qu'elle ne soit plus la).

En gros, tu es un voleur: la première fois tu fais une effraction dans une maison (tu casses la fenêtre), tu voles tout, mais tu en profites pour mettre une entrée secrète connue de toi seul.
Tu peux ensuite revenir via cette entrée, même si la fenêtre est réparée, renforcée et sécurisée.

Les backdoors des éditeurs sont rares, et plus encore dans les logiciels libres (mais oui ça existe aussi, fatalement), parce que le premier qui voit un truc du genre dans le code va irrémédiablement ruiner la réputation du projet. Avec un logiciel non libre, il est beaucoup plus difficile de trouver une backdoor si elle existe (mais heureusement cela arrive, et ça permet je l'espère de réfréner ce genre de pratique irresponsable).
Le nid a backdoor de l'open-source, c'est npm, facile de coder un petit truc utile a plein de monde, et mettre une backdoor dedans, même si elle est découverte, ça ruinera pas des années de travail. Ce problème est sujet à discussion.


Mais il n'y a pas que les logiciels, il y a aussi le matériel qui pose question qui sert à transiter les données.
Tant qu'en France n'aura pas compris pas compris qu'il faut fabriquer ses propres routeurs, modem...et ses propres logiciels et que l'on se fourni ailleurs et en attente des mises à jours de sécurité, on peut déjà partir du postulat que l'infiltration d'une backdoor peux probablement exister et déjà le début de la chaine pose problème.

Dans ce cas précis c'est l'ajout d'un module additionnel développé par un opérateur tiers intégré à la supervision Centreon qui a ouvert les portes
LinuxUser Absent VIP icone 13985 points
Le #2122146
cityhunter67 a écrit :

LinuxUser a écrit :

sansimportance a écrit :

LinuxUser a écrit :

On met a jour, et surtout on segmente, il va falloir expliquer l'intérêt de donner l'accès aux plateformes de supervision via internet.
L'accès via internet c'est pour la communication et les services vers/depuis l'extérieur (site web, portail client/partenaire/fournisseur, vpn, échanges divers...), c'est tout.
Pour le reste, on fait en interne, ou on passe par le vpn.

Si on doit remonter des éléments d'un parc réparti sur plusieurs sites, soit on a un réseau dédié entre les sites, soit, si on doit absolument passer par internet, bah la aussi vpn.


Si j'ai bien lu l'attaque à eue lieu via des backdoor, donc des trucs non documentés et secrets, réservés au dev. Donc, toujours si je ne m'abuse, c'est une (très grosse) faute de la part de Centreon, non ?


Les backdoors ne sont pas forcément des trucs non documentés réservés au devs.
Des backdoors de ce type existent bien entendu (même si c'est très mal et en dehors de tout bon sens, et c'est pour cela que c'est relativement rare, et heureusement, mais passons).
Les hackers sont entrés grâce a une faille du logiciel (confirmé par la MAJ de l'article), via celle-ci, ils ont ensuite mis en place (installé ) 2 backdoors: une qui permet d'avoir un shell système au travers du site web, et une à laquelle on accède via un logiciel d'administration à distance.

Cela leur permis de revenir, même en cas de MAJ de Centreon qui aurait comblé la faille initiale.

Une backdoor, c'est juste une "porte de derrière", dans certains cas l'éditeur en met (encore une fois, ce n'est pas bien du tout), mais généralement ce sont les pirates qui en mettent sur un système compromis pour pouvoir revenir ensuite de manière certaine et plus simplement que ré-exploiter la faille à chaque fois (au risque qu'elle ne soit plus la).

En gros, tu es un voleur: la première fois tu fais une effraction dans une maison (tu casses la fenêtre), tu voles tout, mais tu en profites pour mettre une entrée secrète connue de toi seul.
Tu peux ensuite revenir via cette entrée, même si la fenêtre est réparée, renforcée et sécurisée.

Les backdoors des éditeurs sont rares, et plus encore dans les logiciels libres (mais oui ça existe aussi, fatalement), parce que le premier qui voit un truc du genre dans le code va irrémédiablement ruiner la réputation du projet. Avec un logiciel non libre, il est beaucoup plus difficile de trouver une backdoor si elle existe (mais heureusement cela arrive, et ça permet je l'espère de réfréner ce genre de pratique irresponsable).
Le nid a backdoor de l'open-source, c'est npm, facile de coder un petit truc utile a plein de monde, et mettre une backdoor dedans, même si elle est découverte, ça ruinera pas des années de travail. Ce problème est sujet à discussion.


Mais il n'y a pas que les logiciels, il y a aussi le matériel qui pose question qui sert à transiter les données.
Tant qu'en France n'aura pas compris pas compris qu'il faut fabriquer ses propres routeurs, modem...et ses propres logiciels et que l'on se fourni ailleurs et en attente des mises à jours de sécurité, on peut déjà partir du postulat que l'infiltration d'une backdoor peux probablement exister et déjà le début de la chaine pose problème.

Dans ce cas précis c'est l'ajout d'un module additionnel développé par un opérateur tiers intégré à la supervision Centreon qui a ouvert les portes


C'est vrai, mais je ne parle pas du matériel car généralement, la backdoor est bien logicielle, même sur les routeurs.
Les backdoor matérielles existent, mais elles sont rarissimes (il y a bien eu des news concernant une backdoor matérielle sur les serveurs supermicro il y a un an ou deux, mais ça a été démenti et ça s'est terminé en eau de boudin).
Après, elle sont aussi peut être rarissimes car on ne les trouve pas, qui sait...

On peut aussi parler de l'IME intégré a tous les processeurs Intel, et qui serait selon certains une backdoor en soi, ce qu'Intel dément (et la effectivement on aurait un cas de backdoor à la source).
Le problème est que l'IME, n'est pas auditable (chiffré), n'est pas désactivable, a accès a toute la mémoire (sans que ces accès soient visibles), a accès à la pile TCP/IP (peut émettre et recevoir des paquets, indépendamment de la configuration du pare-feu de l'OS).
icone Suivre les commentaires
Poster un commentaire
avatar
Anonyme
Anonyme avatar