【安全资讯】APT28攻击法国CENTREON监控设备公司

法国国家网络安全局（ANSSI）将过去四年多起法国IT提供商遭到入侵的事件与Sandworm（APT28）黑客组织联系在一起。在受感染的系统上，ANSSI发现以webshell形式存在后门，该后门落在暴露于Internet的几台Centreon服务器上。该后门被标识为PAS Webshell，版本号3.1.4。在同一台服务器上，ANSSI发现了另一个与ESET描述的后门相同的后门，并命名为Exaramel。

ANSSI无法确定服务器是如何被入侵的。因此，目前尚不清楚攻击者是利用了Centreon软件的漏洞，还是受害者遭受供应链攻击。受这场大型攻击活动影响最大的是信息技术提供商，尤其是网络托管提供商。

ANSSI 官员表示，Sandworm 攻击主要针对信息技术提供商，尤其是 Web 托管服务商。第一位受害者可以追溯到 2017 年末，且黑客活动持续到了 2020 年。

据悉，受害者的网络都连接到了 Centreon 。作为法国 CENTREON 公司开发的 IT 资源监视平台，其功能类似于 SolarWinds 的 Orion 平台。

ANSSI 表示，攻击者盯上了连接至互联网的 Centreon 中间系统。至于 Sandworm 是否利用了软件中的漏洞、或者得到了管理员账户的登录凭证，目前暂不得而知。

在入侵得逞后，攻击者安装了某个版本的 PAS Web Shell 和 Exaramel 后门木马。在这两款恶意软件的配合下，黑客得意完全控制受感染的系统、及其相邻网络。考虑到攻击者采取了相当罕见的步骤，ANSSI将此事件与Snadworm（APT28）的高级持续威胁行动相关联。

据说该组织先前的行动，包括 2015 ~ 2016 年影响乌克兰全境的电网崩溃、2017 年的 NotPetya 勒索软件爆发、2018 年的平昌冬奥会开幕式攻击、以及 2019 年的格鲁吉亚大规模网站毁坏。

ANSSI 还警告并敦促法国和国际组织检查其 Centreon 安装包中是否存在两种 PAS 和 Exaramel 恶意软件。若有检出，则表明企业在过去几年遭到过Sandworm 攻击。