フランスのサイバーセキュリティ当局は、CentreonのIT監視ソフトウェアを標的とする攻撃キャンペーンで、このソフトウェアを利用するフランスの複数の組織の内部ネットワークに影響があったことを明らかにした。攻撃は約3年にわたっており、ロシア軍と関係があるとされるハッカー集団Sandwormが関与していた可能性があるとしている。
提供:Centreon
フランスの国家情報システムセキュリティ庁(ANSSI)は現地時間2月15日、攻撃の詳細を記した技術レポートを公開した。
ANSSIは、「この攻撃は、主に情報テクノロジープロバイダー、特にウェブホスティングプロバイダーに影響した」と述べた。「最初の被害者は、2017年下旬に侵入された。このキャンペーンは2020年まで続いた」(ANSSI)
被害を受けたネットワークへのエントリーポイントは、Centreonと関係があるとみられる。フランス企業Centreonが開発したITリソース監視プラットフォームだ。SolarWindsの「Orion」プラットフォームと似た機能を持つ製品だ。
ANSSIは、被害に遭ったシステムで、ネットワークにつながっている複数のCentreonのサーバーにウェブシェルの形態でバックドアが配備されているのを発見した。バックドアは、P.A.S.ウェブシェルのバージョン3.1.4だと特定された。また、同じサーバーに、「Exaramel」という別のバックドアと同一のバックドアが見つかったという。
提供:ANSSI
ANSSIは、これらの攻撃と、サイバーセキュリティ業界でSandwormの名で知られる高度サイバー攻撃(APT)グループとのつながりを見いだそうとした。
米司法省は2020年10月、このグループによる組織的なサイバー攻撃に関与したとして、ロシア軍関係者6人を起訴している。同省は、ロシア軍の情報機関であるロシア軍参謀本部情報総局(GRU)の74455部隊が、Sandwormによる一連のAPTに関与したとしていた。ハッカーらは、ランサムウェア「NotPetya」、ウクライナの停電を引き起こしたハッキング、2018年冬季オリンピックに対する妨害行為のほか、2017年のフランス大統領選のハッキングに関与したとされている。
ANSSIは15日のレポートで、Centreonを導入しているフランス企業や世界の組織に、過去にSandwormの攻撃の被害に遭っている可能性の兆候を示す、P.A.SやExaramel関連のマルウェアの存在を調査するよう促している。
筆者は、本稿の公開前にCentreonの広報担当社にコメントを求めたが、回答は得られなかった。
複数のセキュリティ専門家は、CentreonとSolarWindsのOrionの機能に似ている点はあるが、Centreonへの攻撃はサプライチェーン攻撃というより、インターネットにつながったシステムの脆弱性に付け込んだものとツイートで指摘している。
Sandworm has been using webshells and the Linux version of the backdoor Exaramel against French entities undetected for more than three years.
— Timo Steffens (@Timo_Steffens) February 15, 2021
Initial attack vector is unclear, but malware was found on servers running Centreon (vulnerability more likely than supply-chain). https://t.co/ieUYV57hCF
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
