Accueil Cybersécurité Comprendre la cyberattaque sur les serveurs Centreon

Comprendre la cyberattaque sur les serveurs Centreon

C’est par un post sur LinkedIn  du 15 février à 22H, que Guillaume Poupard , directeur  général de l’ANSSI(Agence Nationale pour la Sécurité des systèmes d’Information) a dévoilé cette attaque qui remonterait à fin 2017. Des hébergeurs notamment seraient piratés depuis 2017, par des backdoor sur un logiciel Centreon, monitorant des serveurs sous Linux. 

L’éditeur Centreon , interrogé par l’AFP relativise sa responsabilité directe : voir notre article.

L’ANSSI a publié un document précisant notamment les procédures de remédiation.

Nous recevons généralement  après les attaques des commentaires et avis d’experts.

L’analyse de Félix Aymé, chercheur en cybersécurité chez Kaspersky , nous a paru particulièrement éclairante.

————————————————–

Explications de Félix Aymé, chercheur en cybersécurité chez Kaspersky

Comment l’attaque a-t-elle pu passer inaperçue pendant plusieurs années ?

« Nous ne savons pas depuis combien de temps l’ANSSI a connaissance de cette campagne d’attaque. Il est possible qu’elle ait été découverte bien après son lancement car les serveurs sur Linux sont malheureusement encore trop souvent laissés de côté en termes de supervision dans les entreprises. En outre, ce type d’attaque ne requiert pas d’interaction humaine – telle que l’ouverture d’un email – donc la probabilité qu’elle soit détectée par un employé suspicieux est limitée ».

L’attaque est-elle similaire à celle  sur le logiciel SolarWinds  en fin d’année 2020?

« Il y a une différence très marquée entre une attaque par chaîne d’approvisionnement de type « Sunburst » et cette campagne d’attaque. Cette campagne d’attaque a ciblé des installations de Centreon déjà présentes dans différents réseaux informatiques (exploitation de vulnérabilités) tandis que lors de l’attaque associée à « Sunburst », c’est le logiciel distribué aux clients finaux qui comportait plusieurs portes dérobées, préalablement installées par les pirates informatiques et qui étaient alors installées par le biais de mises à jour, automatiquement ».

L’ attaque serait-elle imputable au groupe APT Sandworm ?

« Le rapprochement a été réalisé sur différents points. Tout d’abord, les codes malveillants. Sandworm est le seul groupe connu pour utiliser la porte dérobée Linux Exaramel. En outre, la victimologie et l’infrastructure ont sans doute également permis d’attribuer cette campagne d’attaque au mode opératoire Sandworm. Sandworm est un mode opératoire russophone ayant des liens historiques avec le mode opératoire Sofacy/APT28. Il est actif depuis plusieurs années et œuvre dans le domaine de la déstabilisation, soit par le biais d’attaques par sabotage, soit en faisant, par exemple, fuiter des données après les avoir modifiées, tels que des rapports confidentiels ou des sauvegardes de comptes emails. Contrairement à son aîné Sofacy/APT28 et d’autres modes opératoires russophones, ce dernier est très agile lors ses attaques. Il préfèrera toujours utiliser des vecteurs d’infection et des outils moins discriminants afin de limiter les possibilités de corrélation entre ses différentes campagnes d’attaques ».

La simple suppression des fichiers compromis ne constitue pas une mesure adéquate. Il semble que l’attaquant s’est servi de Centreon pour prendre pied dans certains réseaux informatiques

 Quels conseils apporter aux entreprises utilisant les logiciels de Centreon?

« Il faut impérativement rechercher sur l’ensemble des serveurs possédant une instance de Centreon la présence des indicateurs de compromission dévoilés dans le rapport de l’ANSSI (fichiers, services, crontab etc.). Il faut prendre conscience qu’en cas de compromission découverte, la simple suppression des fichiers présentés dans le rapport de l’ANSSI ne constitue pas une mesure adéquate. Il semble que l’attaquant s’est servi de Centreon pour prendre pied dans certains réseaux informatiques, puis s’est sans doute latéralisé vers d’autres ressources et/ou réseaux. Il est dès lors impératif de mettre en œuvre une réponse à incident prenant en compte cet aspect « avancé » de l’attaque ».