Három évig férhettek hozzá hackerek a Centreon-szerverekhez
A rendszerfelügyeleti megoldásokat kínáló cég több ügyfele is érintett lehet a támadásban.
Éveken keresztül támadták különböző vállalatok rendszereit hackerek a francia Centreon monitoring szoftverén keresztül - számolt be a Reuters a francia nemzeti kiberbiztonsági ügynökség (ANSSI) tájékoztatására hivatkozva. A hatóság egyelőre nem tudta pontosan azonosítani a támadókat, ugyanakkor az akció a jelenlegi információk szerint erősen a Sandworm néven emlegetett orosz, katonai hátterű hackercsapat módszereit idézi.
A párizsi székhelyű, 2003-ban alapított Centreon nyílt forrású szoftvercsomagot kínál, komplett IT infrastruktúrák és alkalmazáspaletták felügyeletére - a cég termékeit weboldala szerint havi 15 ezer alkalommal töltik le. A vállalat ügyfelei között világszerte mintegy 600 nagyvállalat található - mások mellett a francia Igazságügyi Minisztérium is a Centreon felhasználója.
Egyelőre kérdéses, hogy az elkövetőknek milyen támadási felületen sikerült beférkőzniük a monitoring szoftverbe - ugyanakkor az ANSSI szerint az már tudható, hogy a tavaly lezárult kampányban az illetéktelen hozzáférések egészen 2017-ig nyúlnak vissza. A hatóság egyelőre nem közölte, hány áldozata lehet a támadásnak, az ugyanakkor ismert, hogy az akció ugyanakkor célpontjai főleg IT szolgáltatócégek, köztük internetszolgáltatók voltak. Az ANSSI közleménye szerint a megcélzott, online kapcsolattal rendelkező Centreon szervereken a támadók, két backdoort is elhelyeztek, ezek egyikét egy webshell formájában, míg a másik egy Exaramel névre hallgató, az ESET biztonsági cég által már 2018 óta ismert kártevőre épített.
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
Az akcióért az ANSSI szerint jó eséllyel felelős Sandworm hackercsapat korábban már több nagy kaliberű támadást is végrehajtott, ahogy a ZDNet kiemeli, a formáció nevéhez fűződik egyebek mellett a 2017-es NotPetya ransomware kampány, az ukrán villamoshálózati infrastruktúra elleni 2015-ös és 2016-os támadások, illetve a 2018-as téli olimpia nyitóceremóniáját megzavaró akció is.
A Centreon ügy erősen emlékeztet a tavaly év végén napvilágot látott Solarwinds botrányra, amelynek során - feltételezhetően szintén orosz állami hátterű támadók - ugyancsak egy beszállító, egész pontosan a texasi székhelyű Solarwinds szoftverét megfertőzve jutottak be Fortune 500 cégek, illetve az USA állami intézményeinek rendszereibe, ahol jó 9 hónapig észrevétlenül tudtak ténykedni.