L’ANSSI publie son rapport sur la campagne d’attaque du mode opératoire Sandworm ciblant les serveurs Centreon

L’ANSSI a été informée d’une campagne de compromission touchant plusieurs entités françaises. Cette campagne
ciblait le logiciel de supervision Centreon, édité par la société du même nom.

Les premières compromissions identifiées par l’ANSSI datent de fin 2017 et se sont poursuivies jusqu’en 2020.
Cette campagne a principalement touché des prestataires de services informatiques, notamment d’hébergement web.
L’ANSSI a constaté sur les systèmes compromis l’existence d’une porte dérobée de type webshell, déposée sur plusieurs serveurs Centreon exposés sur internet. Cette porte dérobée a été identifiée comme étant le webshell P.A.S. dans sa version 3.1.4. Sur ces mêmes systèmes, l’ANSSI a identifié la présence d’une autre porte dérobée nommée Exaramel par l’éditeur ESET.
Cette campagne présente de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm.


Ce rapport présente les informations techniques liées à cette campagne d’attaque : équipement ciblé (section 1), analyse détaillée des codes malveillants (section 2), infrastructure (section 3), techniques, tactiques et procédures (section 4) et liens avec le mode opératoire Sandworm (section 5). Des recommandations (section 6) et des méthodes de détection (section 7) sont enfin proposées afin de permettre une meilleure protection contre ce type d’attaque ainsi que la recherche d’une éventuelle compromission.

Le rapport est disponible ici.