Backdoor-ul Exaramel, descoperit de ESET în 2018, iese din nou la suprafață într-o campanie îndreptată către companiile ce utilizează o versiune învechită a unui instrument popular de monitorizare IT

Agenția Națională Franceză de Securitate cibernetică (ANSSI) a dezvăluit detalii despre o campanie de intruziune care vizează firmele de servicii IT care folosesc Centreon, un instrument de monitorizare a resurselor IT. Se crede că atacurile au rămas sub radar în jur de trei ani și au vizat în principal furnizori de găzduire web din Franța.

„Pe sistemele compromise, ANSSI a descoperit prezența unui backdoor sub forma unui webshell lansat pe mai multe servere Centreon expuse pe internet. Acest backdoor a fost identificat ca fiind webshell-ul PAS, numărul versiunii 3.1.4. Pe aceleași servere, ANSSI a găsit un backdoor identic cu cel descris anterior de ESET, ce poartă numele de Exaramel”, a declarat agenția.

Într-adevăr, backdoor-ul în cauză a fost descoperit și analizat de cercetătorii ESET în 2018. La bază, este un upgrade al backdoor-ului din spatele malware-ului Industroyer, care a provocat o întrerupere a alimentării electrice de o oră în Kiev și în împrejurimile sale, la sfârșitul anului 2016. ESET a detectat Exaramel la o organizație care nu este o facilitate industrială. Atât Exaramel, cât și Industroyer sunt opera grupului APT TeleBots (alias Sandworm), care este responsabil și pentru NotPetya (alias DiskCoder.C), un wiper deghizat în ransomware în 2017. TeleBots este descendent al grupului BlackEnergy, responsabil pentru o pană de curent electric ce a afectat un sfert de milion de case în Ucraina la sfârșitul anului 2015.

Potrivit ANSSI, vectorul inițial de atac și scopul campaniei împotriva firmelor care folosesc Centreon sunt neclare. Deși au o natură diferită, atacurile au provocat imediat îngrijorări cu privire la incursiunile care ar putea fi la fel de dăunătoare ca în cazul hack-ul SolarWinds.

Învechit și neactualizat

La scurt timp după ce a apărut știrea, Centreon, dezvoltatorul din spatele instrumentului de monitorizare, a venit cu câteva clarificări asupra problemei. Compania a subliniat că acest vector de amenințare s-a infiltrat în 15 „entități”, dar niciuna dintre acestea nu este inclusă în rândul numeroșilor săi clienți, ce include companii de tip blue-chip.

Un alt aspect important este că au fost vizate versiuni ale software-ului Centreon trecute de versiunea end-of-life de 5 ani și au fost utilizate de dezvoltatorii open-source, a spus firma. În plus, spre deosebire de recomandările companiei, interfețele web ale instrumentelor au fost expuse pe internet.

Compania a negat că acesta ar fi un exemplu de atac de tip supply-chain și a recomandat ca toți utilizatorii care încă rulează una dintre versiunile învechite ale instrumentului să actualizeze produsul la o versiune mai nouă, ce beneficiază de suport.