В атаках на ИТ-провайдеров Франция обвинила русских военных хакеров

Французское национальное агентство безопасности информационных систем (ANSSI) приписало ряд атак на поставщиков информационных технологий во Франции, произошедших с 2017 по 2020 гг., российской группе Sandworm.

В техническом отчете, опубликованном агентством в конце января, сообщается что хакеры использовали уязвимость французской платформы мониторинга ИТ-ресурсов Centreon, которая аналогична взломанному в прошлом году ПО Orion компании SolarWinds.

Centreon популярна среди местных компаний, используется французским правительством и предоставляет услуги в Северной Америке. Среди её клиентов – Airbus, Air France KLM, Agence France-Presse, Euronews, Orange, Arcelor Mittal и Sephora.

Получив доступ к системам, в которых Centreon оставалась подключённой к Интернету, злоумышленники устанавливали веб-оболочку P.A.S. и троянский бэкдор-вирус Exaramel – комбинацию, которая позволяла получить полный контроль над скомпрометированной системой и прилегающей к ней сетью.

Участников команды Sandworm, также известной под названиями APT 28 и Fancy Bear, связывают с множеством резонансных кибератак, в том числе со взломом сервера Зимних Олимпийских игр в Пхенчхане, с вмешательством в выборы во Франции в 2017 г., с открытым в феврале 2017 г. вредоносным ПО для MacOS и с программой-вымогателем NotPetya.

В мае прошлого года АНБ распространило информацию о том, что хакеры Sandworm, приписанные к отделу 74455 ГРУ, используют известную уязвимость серверов электронной почты по меньшей мере с августа 2019 г. В октябре Министерство юстиции США назвало шестерых россиян, по его сведениям имеющих отношение к Sandworm.