警告!|法国ANSSI：俄黑客对Centreon服务器展开了持续多年的攻击_法国ANSSI：俄黑客对Centreon

法国 ANSSI 在近日的一份报告中指出，名为 Sandworm 的俄方黑客组织，对该国 IT 公司 Centreon 的服务器展开了持续三年的 APT 攻击。由该国情报系统发布的技术报告详情可知，在此期间，黑客破坏了多个运行 Centreon IT 监控软件的法国实体的内部网络。

文章图片

（图自：Centreon）
ANSSI 官员表示，Sandworm 攻击主要针对信息技术提供商，尤其是 Web 托管服务商。第一位受害者可以追溯到 2017 年末，且黑客活动持续到了 2020 年。
据悉，受害者的网络都连接到了 Centreon。作为法国 CENTREON 公司开发的 IT 资源监视平台，其功能类似于 SolarWinds 的 Orion 平台。
【警告!|法国ANSSI：俄黑客对Centreon服务器展开了持续多年的攻击】

文章图片

（图自：ANSSI | PDF）
ANSSI 表示，攻击者盯上了连接至互联网的 Centreon 中间系统。至于 Sandworm 是否利用了软件中的漏洞、或者得到了管理员账户的登录凭证，目前暂不得而知。
在入侵得逞后，攻击者安装了某个版本的 PAS Web Shell 和 Exaramel 后门木马。在这两款恶意软件的配合下，黑客得意完全控制受感染的系统、及其相邻网络。

文章图片

考虑到攻击者采取了相当罕见的步骤，ANSSI 将此事与 Snadworm 的高级持续威胁（APT）行动相关联。
2020 年 10 月，美国司法部指控六名俄方官员参与了该组织精心策划的网络攻击，并指向了俄罗斯 GRU 情报机构的 74455 网络部队。

文章图片

据说该组织先前的行动，包括 2015 ~ 2016 年影响乌克兰全境的电网崩溃、2017 年的 NotPetya 勒索软件爆发、2018 年的平昌冬奥会开幕式攻击、以及 2019 年的格鲁吉亚大规模网站毁坏。
在今日的报告中，ANSSI 还警告并敦促法国和国际组织检查其 Centreon 安装包中是否存在两种 PAS 和 Exaramel 恶意软件。若有检出，则表明企业在过去几年遭到过 Sandworm 攻击。