Armia i Służby
GRU uderzyło we francuskie firmy?
Francuska agencja bezpieczeństwa informacji ostrzega – rosyjscy hakerzy włamali się do licznych celów w kraju i pozostali w ukryciu nawet przez trzy lata. Wykrytą kampanię charakteryzuje kilka elementów podobnych do tych przypisywanych Sandworm – grupie odpowiedzialnej m.in. za wywołanie awarii energetycznej na Ukrainie w 2015 roku.
Francuska agencja bezpieczeństwa informacji ANSSI (Agence nationale de la sécurité des systèmes d'information) wystosowała ostrzeżenie. Zgodnie z opublikowanym raportem hakerzy powiązani z Sandworm – grupą, która współpracuje z rosyjskim wywiadem wojskowym GRU – włamali się do kilku francuskich organizacji. Cyberprzestępcze działania odbywały się po ataku na serwery i wykryciu luki w oprogramowaniu Centreon – firmy produkującej oprogramowanie służące do monitorowania aplikacji, sieci i systemów.
Pomimo, że agencja nie potwierdziła w jaki sposób doszło do naruszenia systemów wykryła dwa rodzaje złośliwego oprogramowania - P.A.S. 3.1.4 oraz Exaramel. Pierwsze z nich zostało stworzone przez ukraińskiego studenta i jest obecnie ogólnodostępne. Exaramel wcześniej zostało powiązane z działalnością grupy Sandworm i zostało zidentyfikowane po raz pierwszy przez ekspertów z grupy ESET w 2018 roku.
Zdaniem agencji, która opublikowała szczegółowy raport w tej sprawie, hakerzy Sandworm działali od 2017 roku do 2020 i obrali za główny cel działalności we Francji firmy działające w obszarach IT oraz hostingu. W komunikacie nie wskazano jakie firmy padły ofiarą ataku – wywołało to spekulacje i poszukiwanie potencjalnych ofiar pośród klientów firmy.
W oświadczeniu przesłanym przez rzecznika Centreon dla amerykańskiego portalu Wired wskazano, że kampania hakerska nie miała wpływu na żadnych obecnych klientów firmy. Ponadto podkreślono, że zidentyfikowane ofiary - 15 spółek, korzystały z otwartej wersji oprogramowania, którego firma nie obsługiwała od ponad pięciu lat. „Centreon obecnie kontaktuje się ze wszystkimi swoimi klientami i partnerami, aby pomóc im sprawdzić, czy ich instalacje są aktualne i zgodne z wytycznymi ANSSI dotyczącymi zdrowego systemu informacyjnego” - dodano w oświadczeniu cytowanym przez Wired.
Działalność grupy Sandworm, powiązanej z rosyjskim wywiadem wojskowym, była już obiektem licznych badań. Jak wskazywano w raporcie FireEye członkowie tej grupy są bardziej subtelni niż np. grupa APT28 jednak atakują wiele rządów i władz lokalnych w Europie za pomocą spersonalizowanych ataków (spear phishing). Podkreślono również, że działalność jest skupiona na terenie Polski.
Sandworm znana jest również ze spektakularnego ataku na ukraińską sieć energetyczną w grudniu 2015 roku. Hakerzy doprowadzili do kilkugodzinnej przerwy w dostawie energii, która dotknęła 700 tys. mieszkańców.
Grupie przypisywane są również ataki na cele rządowe, media oraz sądy w Gruzji. Zdaniem brytyjskich służb działania rosyjskiego wywiadu w cyberprzestrzeni Gruzji mogły być częścią szerszej kampanii destabilizacji tego państwa.