El ejército ruso hackers conocidos como Sandworm, responsable de todo desde apagones en Ucrania a NotPetya, el malware más destructivo de la historia, no tengo fama de ser discreto. Pero una agencia de seguridad francesa ahora advierte que los piratas informáticos con herramientas y técnicas vinculadas a Sandworm han pirateado sigilosamente objetivos en ese país mediante la explotación de una herramienta de monitoreo de TI llamada Centreon, y parecen haberse salido con la suya sin ser detectados durante tres años.
El lunes, la agencia francesa de seguridad de la información ANSSI publicó una advertencia de que los piratas informáticos con vínculos con Sandworm, un grupo dentro de la agencia de inteligencia militar GRU de Rusia, habían violado varias organizaciones francesas. La agencia describe a esas víctimas como “principalmente” empresas de tecnología de la información y, en particular, empresas de alojamiento web. Sorprendentemente, ANSSI dice que la campaña de intrusión se remonta a fines de 2017 y continuó hasta 2020. En esas infracciones, los piratas informáticos parecen haber comprometido los servidores que ejecutan Centreon, vendido por la empresa del mismo nombre con sede en París.
Aunque ANSSI dice que no ha podido identificar cómo se piratearon esos servidores, encontró en ellos dos piezas diferentes de malware: una puerta trasera disponible públicamente llamada PAS y otra conocida como Exaramel, que La empresa eslovaca de ciberseguridad Eset ha detectado a Sandworm usando en intrusiones anteriores. Si bien los grupos de piratas informáticos reutilizan el malware de los demás, a veces intencionalmente para engañar a los investigadores, la agencia francesa también dice que se ha visto una superposición en los servidores de comando y control utilizados en la campaña de piratería de Centreon y en incidentes de piratería anteriores de Sandworm.
Aunque está lejos de estar claro lo que los hackers de Sandworm podrían haber intentado en la campaña de piratería francesa de un año, cualquier intrusión de Sandworm genera alarmas entre aquellos que han visto los resultados del trabajo anterior del grupo. “Sandworm está vinculado con operaciones destructivas”, dice Joe Slowik, investigador de la firma de seguridad DomainTools que ha rastreado las actividades de Sandworm durante años, incluido un ataque a la red eléctrica ucraniana donde apareció una variante temprana de la puerta trasera Exaramel de Sandworm. “Aunque no hay un final conocido relacionado con esta campaña documentado por las autoridades francesas, el hecho de que esté teniendo lugar es preocupante, porque el objetivo final de la mayoría de las operaciones de Sandworm es causar algún efecto disruptivo notable. Deberíamos estar prestando atención”.
ANSSI no identificó a las víctimas de la campaña de piratería. Pero una página del sitio web de Centreon listas de clientes incluidos los proveedores de telecomunicaciones Orange y OptiComm, la consultora de TI CGI, la empresa de defensa y aeroespacial Thales, la empresa siderúrgica y minera ArcelorMittal, Airbus, Air France KLM, la empresa de logística Kuehne + Nagel, la empresa de energía nuclear EDF y el Departamento de Justicia francés.
Clientes de Centreon a salvo
Sin embargo, en un comunicado enviado por correo electrónico el martes, un portavoz de Centreon escribió que ningún cliente real de Centreon se vio afectado por la campaña de piratería. En cambio, la compañía dice que las víctimas estaban usando una versión de código abierto del software de Centreon que la compañía no ha admitido durante más de cinco años, y argumenta que se implementaron de manera insegura, lo que incluye permitir conexiones desde fuera de la red de la organización. La declaración también señala que ANSSI ha contado “sólo unos 15” objetivos de las intrusiones. “Centreon está contactando actualmente a todos sus clientes y socios para ayudarlos a verificar que sus instalaciones estén actualizadas y cumplan con las pautas de ANSSI para un Sistema de Información Saludable”, agrega el comunicado. “Centreon recomienda que todos los usuarios que todavía tengan una versión obsoleta de su software de código abierto en producción la actualicen a la última versión o se comuniquen con Centreon y su red de socios certificados”.
Algunos en la industria de la ciberseguridad interpretaron inmediatamente el informe ANSSI para sugerir otra ataque a la cadena de suministro de software de la clase llevado a cabo contra SolarWinds. En una vasta campaña de piratería revelada a fines del año pasado, los piratas informáticos rusos alteraron la aplicación de monitoreo de TI de esa empresa y solían penetrar en un número aún desconocido de redes que incluyen al menos media docena de agencias federales de EE. UU.
Pero el informe de ANSSI no menciona un compromiso de la cadena de suministro, y Centreon escribe en su declaración que “este no es un ataque del tipo de la cadena de suministro y no se puede hacer un paralelo con otros ataques de este tipo en este caso”. De hecho, Slowik de DomainTools dice que las intrusiones parecen haberse llevado a cabo simplemente mediante la explotación de servidores conectados a Internet que ejecutan el software de Centreon dentro de las redes de las víctimas. Señala que esto se alinearía con otra advertencia sobre Sandworm que la NSA publicó en mayo del año pasado: la agencia de inteligencia advirtió que Sandworm estaba piratear máquinas con conexión a Internet que ejecutan el cliente de correo electrónico Exim, que se ejecuta en servidores Linux. Dado que el software de Centreon se ejecuta en CentOS, que también está basado en Linux, los dos avisos apuntan a un comportamiento similar durante el mismo período de tiempo. “Ambas campañas en paralelo, durante el mismo período de tiempo, se estaban utilizando para identificar servidores vulnerables externos que estaban ejecutando Linux para el acceso inicial o el movimiento dentro de las redes de las víctimas”, dice Slowik. (A diferencia de Sandworm, que ha sido ampliamente identificado como parte del GRU, los ataques de SolarWinds tampoco se han vinculado definitivamente a ninguna agencia de inteligencia específica, aunque las empresas de seguridad y la comunidad de inteligencia de EE. UU. Han atribuido la campaña de piratería al gobierno ruso. .)
“Prepárate para el impacto”
Aunque Sandworm ha centrado muchos de sus ciberataques más notorios en Ucrania, incluido el gusano NotPetya que se propagó desde Ucrania y causó daños por valor de 10.000 millones de dólares a nivel mundial, el GRU no ha rehuido piratear agresivamente objetivos franceses en el pasado. En 2016, los hackers de GRU se hicieron pasar por extremistas islámicos destruyó la red de la cadena de televisión francesa TV5, sacando del aire sus 12 canales. Al año siguiente, los piratas informáticos de GRU, incluido Sandworm llevó a cabo una operación de pirateo y fuga de correo electrónico destinado a sabotear la campaña presidencial del candidato presidencial francés Emmanuel Macron.
Si bien la campaña de piratería descrita en el informe de ANSSI no parece haber resultado de tales efectos disruptivos, las intrusiones de Centreon deberían servir como advertencia, dice John Hultquist, vicepresidente de inteligencia de la firma de seguridad FireEye, cuyo equipo de investigadores nombró Sandworm por primera vez en 2014. Señala que FireEye aún tiene que atribuir las intrusiones a Sandworm independientemente de ANSSI, pero también advierte que es demasiado pronto para decir que la campaña ha terminado. “Esto podría ser una recopilación de inteligencia, pero Sandworm tiene una larga historia de actividad que debemos considerar”, dice Hultquist. “Siempre que encontremos Sandworm con acceso libre durante un largo período de tiempo, debemos prepararnos para el impacto”.
Esta historia apareció originalmente en wired.com.