Спецпроекты

Загадочные хакеры много лет использовали для кибератак европейское ПО мониторинга ИТ-инфраструктуры

Безопасность Бизнес Интернет Хостинг и домены

Разработки французской фирмы Centreon, возможно, использовались для атак на различных хостинг-провайдеров во Франции в течение трех-четырех лет. В атаках использовались вредоносы, родственные NotPetya.

Наиболее вероятный подозреваемый

Программные средства мониторинга ИТ-инфраструктуры, разработанные французской компанией Centreon, использовались хакерами для атак на другие организации. Исследователи французского Национального агентства по безопасности информационных систем (ANSSI) отметили, что злоумышленники, стоявшие за атаками, продемонстрировали modus operandi, напоминающий деятельность русскоязычной шпионской группировки Sandworm. Впрочем, исследователи не решились утверждать, что речь идет именно о ней.

В 40-страничном исследовании, размещенном на сайте ANSSI, говорится, что атаки начались еще в 2017 г. и продолжались до 2020 г. включительно. Большая часть жертв — это сервисные ИТ-фирмы, хостинг-провайдеры и другие компании из этого же сегмента. Их объединяет использование разработок Centreon, однако в ANSSI так и не смогли определить точно, каким именно образом производилась первичная компрометация жертв. Речь идет либо об использовании некоей уязвимости в платформе Centreon, доступной для эксплуатации через веб, либо об «атаке через цепочку поставок», т. е. через заранее скомпрометированное ПО (в том числе, возможно, и разработку Centreon).

Centreon (это название и компании-разработчика, и самой платформы) — опенсорсная система, доступная под разными вариантами Linux. Ее распространяемые дистрибутивы, впрочем, настроены под операционную систему CentOS, которая также представляет собой дериватив Linux.

Все скомпрометированные злоумышленниками и исследованные специалистами ANSSI серверы работали как раз под CentOS.

Непосредственные улики

На атакованные серверы устанавливались бэкдоры Exaramel и P.A.S. webshell. P.A.S., также известный как Fobushell. Это написанная на PHP программа авторства украинского студента Ярослава Панченко. Вполне легитимная изначально, эта утилита очень быстро приглянулась киберзлоумышленникам.

Когда в декабре 2016 г. Министерство внутренней безопасности США опубликовало доклад о предполагаемой атаке на избирательную систему страны, Fobushell версий 3.0.10 и 3.1.0 был обозначен как один из основных инструментов атакующей стороны.

Последней официальной версией P.A.S. стала 4.1.1. Панченко, как утверждается в исследовании ANSSI, впоследствии закрыл свой сайт, свернул разработку веб-шелла и связался с властями США. Однако множественные варианты P.A.S., естественно, продолжают циркулировать в Сети.

В атаках на клиентов Centreon использовалась версия P.A.S., в исходном коде которой обозначена версия 3.1.4. В публичном доступе такой версии не было, скорее всего, организаторы атаки модифицировали исходный код P.A.S. под свои нужды, благо это не так сложно сделать.

Опасные связи

Еще любопытнее бэкдор Exaramel. Этим вредоносом, по данным экспертов фирмы ESET пользовалась та же группировка, что стояла за шифровальщиком NotPetya. Разные вендоры средств безопасности обозначают эту группировку как BlackEnergy, TeleBots или Sandworm. Exaramel представляет собой усовершенствованную версию бэкдора Industroyer, с помощью которого была произведена атака на энергетическую инфраструктуру Украины в конце 2016 г.

Как искусственный интеллект преобразует энергетический и нефтедобывающий сектора
Новое в СХД

Тем не менее, в анализе ANSSI указывается, что точно установить происхождение двоичного файла Exaramel, использованного в атаках на клиентов Centreon, не удалось. С другой стороны, эксперты утверждают, что операторы атаки использовали те же контрольные серверы, что и Sandworm.

При работе с бэкдорами операторы атаки пользовались общедоступными и коммерческими VPN-сервисами и анонимайзерами, в том числе сетью Tor, ExpressVPN, VPNBook и PrivateInetrnetAccess.

Профиль атаки на клиентов Centreon также напоминает об успешной операции, в центре которой оказался другой разработчик мониторингового ПО — SolarWinds; через него оказались атакованы многие другие организации, включая государственные органы США. Власти США спустя непродолжительное время прямо заявили, что за атакой стояли российские спецслужбы. Впрочем, позднее агентство Reuters указало, что клиентов SolarWinds также могли атаковать китайские госхакеры. Правда, те использовали уже совсем другие средства.

backdoor600.jpg
Для многолетних атак на провайдеров Европы использовался любимый бэкдор авторов вируса-вымогателя NotPetya

«Несмотря на все сходство, в ANSSI не берутся однозначно утверждать, кто стоял за атакой, и это легко объяснимо, — указывает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Атрибуция атак практически всегда является спорным, а в некоторых случаях еще и крайне политизированным вопросом. В практической же плоскости утверждения о принадлежности тех или иных инструментов определенной хакерской группировке доказать сложно, если возможно вообще. Как правило, в распоряжении экспертов — только косвенные улики. Даже если перехвачен основной вредонос, продвинутые группировки довольно часто используют чужие разработки, что дополнительно затрудняет определение истинного источника атак».