Le 15 février, l’ANSSI a publié un rapport faisant état d’une campagne de cyberattaques ayant ciblé plusieurs entreprises françaises, à priori depuis 2017, par le biais d’une porte dérobée installée dans le logiciel de Centreon.
Félix Aimé, chercheur en cybersécurité chez Kaspersky, revient sur cette attaque et explique pourquoi elle est particulière, et notamment comment cela a été possible de passer inaperçu pendant plusieurs années :
« Nous ne savons pas depuis combien de temps l’ANSSI a connaissance de cette campagne d’attaque. Il est possible qu’elle ait été découverte bien après son lancement car les serveurs sur Linux sont malheureusement encore trop souvent laissés de côté en termes de supervision dans les entreprises. En outre, ce type d’attaque ne requiert pas d’interaction humaine telle que l’ouverture d’un email donc la probabilité qu’elle soit détectée par un employé suspicieux est limitée ».
Alors que des liens avec l’attaque Sunburst sur le logiciel SolarWinds qui a affecté beaucoup d’entreprises et institutions, notamment américaines en fin d’année 2020 tendent à être faits, notamment sur la méthodologie, Félix Aimé contredit ces liens :
« Il y a une différence très marquée entre une attaque par chaîne d’approvisionnement de type « Sunburst » et cette campagne d’attaque. Cette campagne d’attaque a ciblé des installations de Centreon déjà présentes dans différents réseaux informatiques (exploitation de vulnérabilités) tandis que lors de l’attaque associée à « Sunburst », c’est le logiciel distribué aux clients finaux qui comportait plusieurs portes dérobées, préalablement installées par les pirates informatiques et qui étaient alors installées par le biais de mises à jour, automatiquement ».
Les premiers éléments de communication de l’ANSSI laissent à penser que beaucoup d’éléments dans cette attaque ramènent à l’acteur APT Sandworm. Félix Aimé revient sur ce groupe APT et sur les similitudes avec l’attaque remontée par l’ANSSI :
« Le rapprochement a été réalisé sur différents points. Tout d’abord, les codes malveillants. Sandworm est le seul groupe connu pour utiliser la porte dérobée Linux Exaramel. En outre, la victimologie et l’infrastructure ont sans doute également permis d’attribuer cette campagne d’attaque au mode opératoire Sandworm. Sandworm est un mode opératoire russophone ayant des liens historiques avec le mode opératoire Sofacy/APT28. Il est actif depuis plusieurs années et œuvre dans le domaine de la déstabilisation, soit par le biais d’attaques par sabotage, soit en faisant, par exemple, fuiter des données après les avoir modifiées, tels que des rapports confidentiels ou des sauvegardes de comptes emails. Contrairement à son aîné Sofacy/APT28 et d’autres modes opératoires russophones, ce dernier est très agile lors ses attaques. Il préfèrera toujours utiliser des vecteurs d’infection et des outils moins discriminants afin de limiter les possibilités de corrélation entre ses différentes campagnes d’attaques ».
En matière de conseils à apporter aux entreprises utilisant les logiciels de Centreon, Félix Aimé, chercheur en cybersécurité chez Kaspersky recommande :
« Il faut impérativement rechercher sur l’ensemble des serveurs possédant une instance de Centreon la présence des indicateurs de compromission dévoilés dans le rapport de l’ANSSI (fichiers, services, crontab etc.). Il faut prendre conscience qu’en cas de compromission découverte, la simple suppression des fichiers présentés dans le rapport de l’ANSSI ne constitue pas une mesure adéquate. Il semble que l’attaquant s’est servi de Centreon pour prendre pied dans certains réseaux informatiques, puis s’est sans doute latéralisé vers d’autres ressources et/ou réseaux. Il est dès lors impératif de mettre en œuvre une réponse à incident prenant en compte cet aspect « avancé » de l’attaque ».