Francia vincula el gusano de arena de Rusia a una ola de piratería perenne


El logotipo de una agencia cuelga de la ventana de una oficina.
Agrandar /. El logo de la agencia nacional francesa de ciberseguridad Agence Nationale de la Securite des Systemes d’Information (ANSSI), tomado en la sede de ANSSI en París.

Los hackers militares rusos llamados Sandworm, que son responsables de todo, desde cortes de energía en Ucrania hasta NotPetya, el malware más destructivo de la historia, no tienen reputación de ser discretos. Sin embargo, una agencia de seguridad francesa ahora advierte que los piratas informáticos con herramientas y técnicas vinculadas a Sandworm han pirateado en secreto objetivos en este país mediante la explotación de una herramienta de vigilancia de TI llamada Centreon, y aparentemente escaparon sin ser detectados durante tres años.

El lunes, la agencia francesa de seguridad de la información ANSSI publicó una advertencia de que piratas informáticos vinculados a Sandworm, un grupo del servicio secreto ruso GRU, habían herido a varias organizaciones francesas. La agencia describe a estas víctimas como «en su mayoría» empresas de TI y especialmente empresas de alojamiento web. Sorprendentemente, según ANSSI, la campaña de intrusión se remonta a finales de 2017 y duró hasta 2020. En estas violaciones, los piratas informáticos parecen haber comprometido servidores con Centreon, que son vendidos por la empresa con sede en París del mismo nombre.

Aunque ANSSI dice que no pudo identificar cómo se piratearon estos servidores, encontró dos tipos diferentes de malware en ellos: una puerta trasera de acceso público llamada PAS y otra llamada Exaramel, en la que la firma de ciberseguridad eslovaca Eset ha descubierto que Sandworm tiene intervenciones previas. Mientras que los grupos de piratas informáticos reutilizan el malware de los demás, a veces deliberadamente para engañar a los investigadores, la agencia francesa afirma que los servidores de comando y control utilizados en la campaña de piratería de Centreon y los incidentes anteriores de piratería de gusanos de arena se superponen.

Si bien está lejos de estar claro a qué podrían haber estado apuntando los piratas informáticos de Sandworm en la campaña de piratería francesa de un año, cualquier intrusión de Sandworm activa una alarma entre aquellos que han visto los resultados del trabajo anterior del grupo. «Sandworm se ha relacionado con operaciones destructivas», dice Joe Slowik, investigador de la firma de seguridad DomainTools que ha seguido las actividades de Sandworm durante años, incluido un ataque a la red eléctrica de Ucrania que resultó en una variante temprana de la puerta trasera Exaramel de Sandworm. «Si bien no hay un final conocido relacionado con esta campaña documentado por las autoridades francesas, el hecho de que esté teniendo lugar es preocupante, ya que el objetivo final de la mayoría de las operaciones de gusanos de arena es tener un efecto disruptivo notable. Debemos tener cuidado».

ANSSI no identificó a las víctimas de la campaña de piratería. Sin embargo, una página del sitio web de Centreon enumera clientes que incluyen a los proveedores de telecomunicaciones Orange y OptiComm, la consultora de TI CGI, la empresa de defensa y aviación Thales, la empresa de acero y minería ArcelorMittal, Airbus, Air France KLM, la empresa de logística Kuehne + Nagel la empresa de energía nuclear EDF y el Ministerio de Justicia francés.

Clientes de Centreon a salvo

Sin embargo, en un comunicado enviado por correo electrónico el martes, un portavoz de Centreon escribió que ningún cliente real de Centreon se vio afectado por la campaña de piratería. En cambio, la compañía declaró que las víctimas estaban usando una versión de código abierto del software Centreon que la compañía no ha admitido en más de cinco años, argumentando que se implementó de manera insegura, incluso permitiendo conexiones desde fuera de la red corporativa. La declaración también señala que ANSSI contó «sólo unos 15» objetivos de las intervenciones. «Centreon está contactando actualmente a todos los clientes y socios para ayudarlos a verificar si sus instalaciones están actualizadas y cumplen con las pautas de ANSSI para un sistema de información saludable», se lee en el comunicado. «Centreon recomienda que todos los usuarios que aún tengan una versión desactualizada de su software de código abierto en producción la actualicen a la última versión o se comuniquen con Centreon y su red de socios certificados».

Algunos en la industria de la ciberseguridad interpretaron inmediatamente que el informe ANSSI sugería otro ataque más a la cadena de suministro de software, como el que se llevó a cabo contra SolarWinds. En una extensa campaña de piratería publicada a fines del año pasado, los piratas informáticos rusos modificaron la aplicación de vigilancia de TI de esta compañía y penetraron en un número aún desconocido de redes, incluidas al menos media docena de agencias federales de EE. UU.

Sin embargo, el informe de la ANSSI no menciona ningún compromiso en la cadena de suministro y Centreon afirma en su declaración que «este no es un ataque del tipo cadena de suministro y en este caso no se puede establecer un paralelo con otros ataques de este tipo». En cambio, según Slowik de DomainTools, las intervenciones parecen haberse llevado a cabo simplemente utilizando servidores conectados a Internet que ejecutan el software Centreon en las redes de las víctimas. Señala que esto coincidiría con otra advertencia sobre Sandworm emitida por la NSA en mayo del año pasado: El Servicio Secreto advirtió a Sandworm que estaba usando el cliente de correo electrónico Exim que se ejecuta en servidores Linux. Dado que el software Centreon se ejecuta en CentOS, que también se basa en Linux, las dos referencias indican un comportamiento similar durante el mismo período. «Ambas campañas se utilizaron en paralelo durante el mismo período de tiempo para identificar servidores vulnerables externos que estaban ejecutando Linux para el acceso inicial o el movimiento dentro de las redes de las víctimas», dice Slowik. (A diferencia de Sandworm, que ha sido ampliamente identificado como parte del GRU, los ataques de SolarWinds aún no se han vinculado definitivamente a una agencia de inteligencia específica, aunque las empresas de seguridad y las agencias de inteligencia de EE. UU. Han atribuido la campaña de piratería al gobierno ruso).

«Atrapado en el impacto»

Aunque Sandworm ha centrado muchos de sus ciberataques más notorios en Ucrania, incluido el gusano NotPetya, que se propagó desde Ucrania y causó daños por valor de 10.000 millones de dólares en todo el mundo, el GRU históricamente no ha tenido reparos en piratear agresivamente objetivos franceses. En 2016, los piratas informáticos de GRU que se hicieron pasar por extremistas islámicos destruyeron la red de la cadena de televisión francesa TV5 y tomaron sus 12 canales del aire. Durante el año siguiente, los piratas informáticos de GRU, incluido Sandworm, llevaron a cabo una operación de pirateo y filtración de correos electrónicos para sabotear la campaña presidencial del candidato presidencial francés Emmanuel Macron.

Si bien la campaña de piratería descrita en el informe de ANSSI no pareció haber producido efectos tan disruptivos, la interferencia con Centreon debería servir como una advertencia, dice John Hultquist, vicepresidente de inteligencia de la firma de seguridad FireEye, cuyo equipo de investigación primero nombró Sandworm en 2014 señala que, independientemente de ANSSI, FireEye aún no ha atribuido la interferencia a Sandworm, pero también advierte que es demasiado pronto para decir que la campaña ha terminado. «Esto podría ser una recopilación de noticias, pero Sandworm tiene un largo historial de actividad que debemos considerar», dice Hultquist. «Cada vez que encontramos Sandworm con acceso abierto durante un largo período de tiempo, tenemos que adaptarnos al impacto».

Esta historia apareció originalmente en wired.com.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.