被称为沙虫(Sandworm)的俄罗斯军方黑客,从乌克兰的断电到史上最具破坏性的恶意软件NotPetya,都是他们所为,他们并没有谨慎的名声。但是现在法国的一个安全机构警告说,有黑客利用与Sandworm有关的工具和技术,通过一种名为centreon的it监控工具,秘密入侵了该国的目标,而且似乎在长达三年的时间里都没有被发现。
周一,法国信息安全机构ANSSI发布了一份警告,称与俄罗斯军事情报机构GRU内部的Sandworm组织有关联的黑客已经入侵了几家法国组织。该机构称,这些受害者“主要是”IT公司,尤其是网络托管公司。值得注意的是,安西安全研究所表示,入侵活动可以追溯到2017年底,一直持续到2020年。在这些攻击中,黑客似乎已经侵入了Centreon的服务器,该服务器由总部位于巴黎的同名公司出售。
虽然ANSSI表示还无法确定这些服务器是如何被黑客入侵的,但它在这些服务器上发现了两种不同的恶意软件:一种是名为PAS的公开后门软件,另一种是名为Exaramel的恶意软件。斯洛伐克网络安全公司ESET曾发现Sandworm在之前的入侵中使用了Exaramel软件。虽然黑客组织确实会重复使用彼此的恶意软件——有时是故意误导调查人员——但法国机构也表示,在Centreon黑客行动和之前Sandworm黑客事件中,他们看到了命令和控制服务器的重叠。
虽然还不清楚Sandworm的黑客在法国多年的黑客活动中可能有什么意图,但任何Sandworm的入侵都会给那些看过该组织过去工作成果的人敲响警钟。“沙虫与破坏性行动有关,”安全公司DomainTools的研究员乔·斯洛维克(Joe Slowik)说。他多年来一直在跟踪沙虫的活动,包括对乌克兰电网的一次攻击,在那次攻击中,沙虫的Exaramel后门出现了一个早期变种。“尽管法国当局没有记录下与这次行动有关的已知结局,但它正在发生的事实令人担忧,因为大多数沙虫行动的最终目标是造成一些明显的破坏性影响。我们应该予以关注。”
安西国际安全研究所没有确认黑客活动的受害者身份。但Centreon网站的一个页面列出的客户包括电信供应商Orange和OptiComm、IT咨询公司CGI、国防和航空公司泰利斯(Thales)、钢铁和矿业公司阿塞洛-米塔尔(ArcelorMittal)、空客(Airbus)、法航荷航(Air France KLM)、物流公司Kuehne + Nagel、核能公司EDF和法国司法部。
然而,在周二的一份电子邮件声明中,Centreon的一名发言人写道,Centreon并没有真正的客户在黑客行动中受到影响。相反,该公司说,受害者使用的是Centreon软件的开源版本,该公司已经五年多没有支持该软件了。该公司还说,这些软件的部署并不安全,包括允许来自该组织网络以外的连接。声明还指出,ANSSI统计的入侵目标“只有15个左右”。声明还说:“Centreon目前正在联系所有客户和合作伙伴,协助他们验证他们的安装是否符合ANSSI的健康信息系统指南。”“Centreon建议所有仍在生产中使用过时版本的开源软件的用户将其更新到最新版本,或联系Centreon及其认证合作伙伴网络。”
网络安全行业的一些人立即将ANSSI的报告解读为另一种针对太阳风的软件供应链攻击。在去年年底披露的一场大规模黑客活动中,俄罗斯黑客改变了该公司的IT监控应用程序,并利用该应用程序侵入了数量仍不清楚的网络,其中至少包括6个美国联邦机构。
但是ANSSI的报告没有提到供应链的妥协,Centreon在其声明中写道,“这不是供应链类型的攻击,在这种情况下,不会出现与其他此类攻击类似的情况。”事实上,DomainTools的斯洛维克说,这些入侵似乎只是利用了在受害者网络内运行Centreon软件的面向互联网的服务器。他指出,这与美国国家安全局去年5月发布的另一个关于Sandworm的警告是一致的:情报机构警告Sandworm正在入侵运行在Linux服务器上的进出口银行电子邮件客户端的面向互联网的机器。鉴于Centreon的软件运行在CentOS上,而CentOS也是基于linux的,这两份报告指出在同一时间段内会出现类似的行为。斯洛维克说:“这两项活动同时进行,在同一段时间内,被用来识别外部的脆弱服务器,这些服务器碰巧运行Linux,用于初始访问或在受害者网络中移动。”(与Sandworm被广泛认为是GRU的一部分形成对比的是,太阳风的攻击还没有被确定与任何特定的情报机构有关,尽管安全公司和美国情报界都将黑客活动归咎于俄罗斯政府。)
尽管沙虫已经把它最臭名昭著的网络攻击集中在乌克兰——包括从乌克兰传播到全球造成100亿美元损失的NotPetya蠕虫——GRU在过去并不回避对法国目标的侵略性攻击。2016年,GRU黑客伪装成伊斯兰极端分子,摧毁了法国TV5电视台的网络,使其12个频道停播。第二年,包括Sandworm在内的GRU黑客进行了一项旨在破坏法国总统候选人马克龙的总统竞选活动的电子邮件黑客和泄漏行动。
安全公司FireEye负责情报工作的副总裁约翰·胡尔特奎斯特(John Hultquist)表示,虽然ANSSI报告中描述的黑客活动似乎没有造成这样的破坏性影响,但Centreon的入侵应该作为一种警告。2014年,该公司的研究团队首次将Sandworm命名为“沙虫”。他指出,火眼公司尚未独立于ansi而将入侵归咎于Sandworm,但也警告说,现在说这场战役已经结束还为时过早。“这可能是情报收集,但沙虫有很长的活动历史,我们必须考虑,”胡尔特奎斯特说。“任何时候,只要我们在很长一段时间内发现沙虫,我们都需要做好应对冲击的准备。”
