فرانسه کرم شن و ماسه روسی را با سالها هک مرتبط می داند


آرم آژانس امنیت ملی سایبر فرانسه Agence Nationale de la securite des systemes d'information (ANSSI) ، برگرفته از مقر ANSSI در پاریس.
بزرگنمایی / آرم آژانس امنیت ملی سایبر فرانسه Agence Nationale de la securite des systemes d’information (ANSSI) ، برگرفته از مقر ANSSI در پاریس.

اریک پیرمونت خبرگزاری فرانسه | گتی ایماژ

هکرهای ارتش روسیه ، معروف به Sandworm ، مسئولیت همه چیز را دارند ، از کسوف در اوکراین گرفته تا NotPetya ، مخرب ترین بدافزار تاریخ ، بدون شهرت صلاحدید. اما یک آژانس امنیتی فرانسه اکنون هشدار می دهد که هکرها با استفاده از ابزارها و تکنیک هایی که به Sandworm متصل می شوند ، اهداف هکری را با استفاده از یک ابزار نظارت بر فناوری اطلاعات به نام Centreon در این کشور به سرقت برده اند – و به نظر می رسد که به مدت سه سال بدون شناسایی فرار کرده است.

روز دوشنبه ، خبرگزاری فرانسه ANSSI هشدار مشورتی داد که هکرهایی که به Sandworm ، گروهی در آژانس اطلاعاتی نظامی GRU روسیه متصل بودند ، چندین سازمان فرانسه را نقض کرده اند. آژانس این قربانیان را “بیشتر” شرکتهای IT و به ویژه شرکتهای میزبانی وب معرفی می کند. نکته قابل توجه ، ANSSI می گوید که این فعالیت نفوذ به اواخر سال 2017 برمی گردد و تا سال 2020 ادامه داشت. در این پیشرفت ها ، به نظر می رسد هکرها سرورهای مستقر در Centreon را که توسط شرکتی با همین نام در پاریس فروخته شده اند ، به خطر انداخته اند.

اگرچه ANSSI ادعا می کند که نتوانسته است نحوه هک شدن این سرورها را شناسایی کند ، اما دو بدافزار مختلف را بر روی آنها پیدا کرد: یکی درب پشتی در دسترس عموم به نام PAS و دیگری معروف به Exaramel ، که امنیت سایبری شرکت اسلواکی با استفاده از Sandworm در نفوذهای قبلی متوجه شده است . در حالی که گروه های هکر از بدافزار استفاده مجدد می کنند – گاهی اوقات عمداً برای گمراه کردن محققان – آژانس فرانسوی همچنین می گوید در مدیریت و سرورهای کنترل شده مورد استفاده در کمپین هک Centreon و حوادث قبلی هک Sandworm همپوشانی وجود دارد.

اگرچه به هیچ وجه مشخص نیست که هکرهای Sandworm در این کار طولانی مدت هکینگ فرانسه چه یافته اند ، اما هرگونه نفوذ به Sandworm باعث نگرانی کسانی شده است که نتایج کارهای گذشته این گروه را دیده اند. جو اسلوویک ، محقق شرکت امنیتی DomainTools ، که سالهاست فعالیتهای Sandworm را دنبال می کند ، از جمله حمله به شبکه برق اوکراین ، جایی که نسخه اولیه درب عقب Exaramel Sandworm ظاهر می شود ، گفت: “کرم شن درگیر عملیات تخریبی است.” “اگرچه هیچ بازی نهایی شناخته شده ای در رابطه با این کمپین وجود ندارد ، که توسط مقامات فرانسوی مستند شده باشد ، اما واقعیت این که این بازی در حال انجام است نگران کننده است ، زیرا هدف نهایی اکثر عملیات کرم ماسه ای ایجاد یک اثر مخرب قابل توجه است. ما باید توجه کنیم “

ANSSI قربانیان حمله هک را شناسایی نکرد. اما وب سایت Centreon شامل مشتریان ، از جمله ارائه دهندگان خدمات ارتباط از راه دور Orange و OptiComm ، شرکت مشاور فناوری اطلاعات CGI ، شرکت دفاعی و هوافضا Thales ، شرکت فولاد و معدن ArcelorMittal ، Airbus ، Air France KLM ، شرکت تدارکاتی Nagel Kueh انرژی انرژی EDF و وزارت فرانسه فرانسه است. عدالت

با این حال ، سخنگوی Centreon در بیانیه پست الکترونیکی روز سه شنبه گفت که مشتریان واقعی Centreon تحت تأثیر کمپین هک قرار نگرفته اند. در عوض ، این شرکت گفت که قربانیان از نسخه منبع باز نرم افزار Centreon استفاده کرده اند که شرکت بیش از پنج سال از آن نگهداری نکرده و گفته است که آنها به روشی ناامن ، از جمله اجازه ارتباطات خارج از شبکه سازمان ، مستقر شده اند. در این بیانیه همچنین اشاره شده است که ANSSI “فقط حدود 15” هدف نفوذ را شمرده است. در بیانیه اضافه شده است: “Centreon در حال حاضر با تمام مشتریان و شرکای خود تماس گرفته تا به آنها کمک کند تأیید کنند که نصب آنها به روز است و از دستورالعمل های سیستم اطلاعات سلامت ANSSI پیروی می کنند.” “Centreon توصیه می کند که تمام کاربرانی که هنوز نسخه منسوخ نرم افزار منبع باز آن را در تولید دارند ، آن را به آخرین نسخه به روز کنند یا با Centreon و شبکه شرکای مجاز آن تماس بگیرند.”

برخی در صنعت امنیت سایبری بلافاصله گزارش ANSSI را تفسیر کردند تا حمله دیگری به زنجیره تأمین نرم افزار از این نوع علیه SolarWinds پیشنهاد شود. در یک کارزار بزرگ هکری که اواخر سال گذشته رونمایی شد ، هکرهای روسی برنامه نظارت بر فناوری اطلاعات این شرکت را تغییر داده و به تعداد نامعلومی از شبکه ها که حداقل نیمی از آژانس های فدرال ایالات متحده را درگیر می کنند ، نفوذ کرد.

اما گزارش ANSSI به سازش در زنجیره تأمین اشاره ای نکرده و Centreon در بیانیه ای گفت که “این حمله زنجیره تأمین نیست و در این حالت هیچ موازی با حملات دیگر از این نوع نمی توان رسم کرد”. در حقیقت ، اسلوویک از DomainTools می گوید که به نظر می رسد مداخله صرفاً با استفاده از سرورهای رو به اینترنت با استفاده از نرم افزار Centreon در شبکه های قربانیان انجام شده است. وی با اشاره به اینکه این امر با اخطار Sandworm دیگری که در ماه مه سال گذشته توسط NSA صادر شد همخوانی خواهد داشت: سازمان اطلاعات هشدار داد كه Sandworm در حال هك كردن دستگاه های مجهز به اینترنت با سرویس گیرنده ایمیل Exim است كه روی سرورهای لینوكس اجرا می شود. با توجه به اینکه نرم افزار Centreon روی CentOS اجرا می شود که مبتنی بر لینوکس نیز می باشد ، هر دو توصیه به رفتار مشابه در یک دوره مشابه اشاره دارد. اسلوویک می گوید: “هر دو کمپین به طور موازی ، در یک بازه زمانی مشخص ، برای شناسایی سرورهای خارجی و آسیب پذیر که به طور اتفاقی با لینوکس برای دسترسی یا جابجایی اولیه در شبکه های قربانیان کار می کردند ، استفاده شد.” (برخلاف Sandworm ، که به طور گسترده ای به عنوان بخشی از GRU شناخته می شود ، حملات SolarWinds هنوز ارتباط قطعی با هیچ آژانس اطلاعاتی ندارد ، اگرچه شرکت های امنیتی و جامعه اطلاعاتی ایالات متحده این حمله هک را به دولت روسیه نسبت می دهند.)

گرچه Sandworm بسیاری از بدنام ترین حملات سایبری خود را به اوکراین متمرکز کرده است – از جمله کرم NotPetya ، که از اوکراین گسترش یافته است تا به 10 میلیارد دلار در سراسر جهان خسارت برساند ، GRU در گذشته از هک کردن متجاوزانه اهداف فرانسه شانه خالی نکرده است. در سال 2016 ، هکرهای GRU که به عنوان افراط گرایان اسلامی ظاهر می شدند ، شبکه کانال تلویزیونی TV5 فرانسه را ویران کردند و 12 کانال آن را پخش کردند. سال بعد ، هکرهای GRU ، از جمله Sandworm ، یک عملیات هک و نشت ایمیل را انجام دادند که برای کارشکنی در انتخابات ریاست جمهوری ، امانوئل مکرون ، نامزد انتخابات ریاست جمهوری فرانسه طراحی شده بود.

جان هولکوویست ، معاون اطلاعات شرکت امنیتی FireEye ، که تیم تحقیقاتی وی اولین بار Sandworm را در سال 2014 نامگذاری کرد ، گفت: اگرچه به نظر نمی رسد چنین اثرات مخربی نتیجه کارزار هکری باشد که در گزارش ANSSI شرح داده شده است ، اما نفوذهای Centreon باید به عنوان یک هشدار عمل کنند. وی خاطرنشان کرد که FireEye هنوز نفوذها را به طور مستقل از ANSSI به Sandworm نسبت نداده است – اما همچنین هشدار می دهد که گفتن پایان کارزار خیلی زود است. هولتکوئیست گفت: “این ممکن است جمع آوری اطلاعات باشد ، اما Sandworm سابقه طولانی در تجارت دارد که باید آن را در نظر بگیریم.” “هر بار که Sandworm را برای مدت طولانی با دسترسی واضح می یابیم ، باید خود را برای یک ضربه آماده کنیم.”

این داستان در ابتدا در سایت wired.com منتشر شد.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>