Prancis Mengaitkan Sandworm Rusia dengan Peretasan Bertahun-tahun


Militer Rusia peretas yang dikenal sebagai Sandworm, yang bertanggung jawab atas segala hal mulai dari pemadaman listrik di Ukraina hingga NotPetya, malware paling merusak dalam sejarah, tidak memiliki reputasi untuk kebijaksanaan. Tetapi sebuah badan keamanan Prancis sekarang memperingatkan bahwa peretas dengan alat dan teknik yang ditautkan ke Sandworm telah secara diam-diam meretas target di negara itu dengan mengeksploitasi alat pemantauan TI yang disebut Centreon — dan tampaknya berhasil lolos tanpa terdeteksi selama tiga tahun.

Pada hari Senin, badan keamanan informasi Prancis ANSSI menerbitkan peringatan peringatan bahwa peretas yang memiliki tautan ke Sandworm, sebuah kelompok dalam badan intelijen militer GRU Rusia, telah melanggar beberapa organisasi Prancis. Badan tersebut menggambarkan para korban tersebut sebagai “kebanyakan” perusahaan IT dan terutama perusahaan web hosting. Hebatnya, ANSSI mengatakan kampanye intrusi dimulai pada akhir 2017 dan berlanjut hingga 2020. Dalam pelanggaran tersebut, para peretas tampaknya telah menyusupi server yang menjalankan Centreon, dijual oleh perusahaan dengan nama yang sama yang berbasis di Paris.

Meskipun ANSSI mengatakan belum dapat mengidentifikasi bagaimana server tersebut diretas, mereka menemukan dua buah malware yang berbeda: satu pintu belakang yang tersedia untuk umum yang disebut PAS, dan yang lainnya dikenal sebagai Exaramel, yang perusahaan keamanan siber Slovakia ESET telah melihat Sandworm menggunakannya di gangguan sebelumnya. Meskipun kelompok peretas menggunakan kembali perangkat lunak perusak satu sama lain — terkadang dengan sengaja untuk menyesatkan penyelidik — lembaga Prancis juga mengatakan telah terjadi tumpang tindih dalam server perintah dan kontrol yang digunakan dalam kampanye peretasan Centreon dan insiden peretasan Sandworm sebelumnya.

Meskipun masih jauh dari jelas apa yang mungkin dimaksudkan oleh para peretas Sandworm dalam kampanye peretasan Prancis selama bertahun-tahun, setiap gangguan Sandworm menimbulkan kekhawatiran di antara mereka yang telah melihat hasil dari pekerjaan grup sebelumnya. “Sandworm terkait dengan operasi yang merusak,” kata Joe Slowik, seorang peneliti untuk perusahaan keamanan DomainTools yang telah melacak aktivitas Sandworm selama bertahun-tahun, termasuk serangan terhadap jaringan listrik Ukraina di mana varian awal dari pintu belakang Exaramel Sandworm muncul. “Meskipun tidak ada endgame yang diketahui terkait dengan kampanye ini yang didokumentasikan oleh otoritas Prancis, fakta bahwa itu terjadi mengkhawatirkan, karena tujuan akhir dari sebagian besar operasi Sandworm adalah untuk menimbulkan efek mengganggu yang nyata. Kita harus memperhatikan.”

ANSSI tidak mengidentifikasi korban dari kampanye peretasan tersebut. Tetapi halaman situs web Centreon mencantumkan pelanggan termasuk penyedia telekomunikasi Orange dan OptiComm, perusahaan konsultan IT CGI, perusahaan pertahanan dan kedirgantaraan Thales, perusahaan baja dan pertambangan ArcelorMittal, Airbus, Air France KLM, perusahaan logistik Kuehne + Nagel, perusahaan tenaga nuklir EDF, dan Departemen Kehakiman Prancis. Tidak jelas jika salah satu pelanggan tersebut memiliki server yang menjalankan Centreon yang terpapar ke internet.

“Dalam hal apa pun tidak terbukti pada tahap ini bahwa kerentanan yang teridentifikasi menyangkut versi komersial yang disediakan oleh Centreon selama periode yang dipermasalahkan,” kata Centreon dalam pernyataan yang dikirim melalui email, menambahkan bahwa ia secara teratur merilis pembaruan keamanan. “Kami tidak dalam posisi untuk menentukan pada tahap ini, beberapa menit setelah publikasi dokumen ANSSI, apakah kerentanan yang ditunjukkan oleh ANSSI telah menjadi subjek dari salah satu tambalan ini.” ANSSI menolak berkomentar di luar saran awal.

Beberapa di industri keamanan siber segera menafsirkan laporan ANSSI untuk menyarankan serangan rantai pasokan perangkat lunak lain yang dilakukan terhadap SolarWinds. Dalam kampanye peretasan besar-besaran yang terungkap akhir tahun lalu, peretas Rusia mengubah aplikasi pemantauan TI perusahaan itu dan digunakan untuk menembus sejumlah jaringan yang masih belum diketahui yang mencakup setidaknya setengah lusin agen federal AS.

Tetapi laporan ANSSI tidak menyebutkan kompromi rantai pasokan, dan Slowik dari DomainTools mengatakan intrusi itu tampaknya dilakukan hanya dengan mengeksploitasi server yang menghadap ke internet yang menjalankan perangkat lunak Centreon di dalam jaringan korban. Dia menunjukkan bahwa ini akan sejalan dengan peringatan lain tentang Sandworm yang diterbitkan NSA pada Mei tahun lalu: Badan intelijen memperingatkan Sandworm meretas mesin yang menghadap ke internet yang menjalankan klien email Exim, yang berjalan di server Linux. Mengingat bahwa perangkat lunak Centreon berjalan pada CentOS, yang juga berbasis Linux, kedua penasehat menunjukkan perilaku yang serupa selama jangka waktu yang sama. “Kedua kampanye ini secara paralel, selama beberapa periode waktu yang sama, digunakan untuk mengidentifikasi server rentan yang dihadapi secara eksternal yang kebetulan menjalankan Linux untuk akses awal atau pergerakan dalam jaringan korban,” kata Slowik. (Berbeda dengan Sandworm, yang telah diidentifikasi secara luas sebagai bagian dari GRU, serangan SolarWinds juga belum secara pasti terkait dengan badan intelijen tertentu, meskipun perusahaan keamanan dan komunitas intelijen AS telah mengaitkan kampanye peretasan tersebut dengan pemerintah Rusia. .)

Diposting oleh : SGP Prize