Los piratas informáticos militares rusos conocidos como Sandworm, responsables de todo, desde apagones en Ucrania hasta NotPetya, el malware más destructivo de la historia, no tienen fama de discretos. Pero una agencia de seguridad francesa ahora advierte que los piratas informáticos con herramientas y técnicas que vincula a Sandworm han pirateado sigilosamente objetivos en ese país al explotar una herramienta de monitoreo de TI llamada Centreon, y parecen haberse salido con la suya sin ser detectados durante tres años.
El lunes, la agencia francesa de seguridad de la información ANSSI publicó una advertencia de que piratas informáticos con vínculos con Sandworm, un grupo dentro de la agencia de inteligencia militar GRU de Rusia, habían violado varias organizaciones francesas. La agencia describe a esas víctimas como «en su mayoría» empresas de TI y, en particular, empresas de alojamiento web. Sorprendentemente, ANSSI dice que la campaña de intrusión se remonta a fines de 2023 y continuó hasta 2023. En esas infracciones, los piratas informáticos parecen haber comprometido los servidores que ejecutan Centreon, vendidos por la empresa del mismo nombre con sede en París.
Aunque ANSSI dice que no ha podido identificar cómo se piratearon esos servidores, encontró en ellos dos piezas diferentes de malware: una puerta trasera disponible públicamente llamada PAS y otra conocida como Exaramel, que la firma de seguridad cibernética eslovaca Eset ha visto usando Sandworm en intrusiones anteriores. Si bien los grupos de piratería reutilizan el malware de los demás, a veces intencionalmente para engañar a los investigadores, la agencia francesa también dice que ha visto una superposición en los servidores de comando y control utilizados en la campaña de piratería de Centreon y los incidentes anteriores de piratería de Sandworm.
Aunque no está nada claro cuál podría haber sido la intención de los piratas informáticos de Sandworm en la campaña de piratería francesa que duró años, cualquier intrusión de Sandworm genera alarmas entre quienes han visto los resultados del trabajo anterior del grupo. «Sandworm está relacionado con operaciones destructivas», dice Joe Slowik, investigador de la firma de seguridad DomainTools que ha rastreado las actividades de Sandworm durante años, incluido un ataque a la red eléctrica ucraniana donde apareció una variante temprana de la puerta trasera Exaramel de Sandworm. «Aunque no hay un final conocido relacionado con esta campaña documentado por las autoridades francesas, el hecho de que esté ocurriendo es preocupante, porque el objetivo final de la mayoría de las operaciones de Sandworm es causar algún efecto disruptivo notable. Deberíamos estar prestando atención».
ANSSI no identificó a las víctimas de la campaña de piratería. Pero una página del sitio web de Centreon enumera clientes que incluyen a los proveedores de telecomunicaciones Orange y OptiComm, la consultora de TI CGI, la empresa aeroespacial y de defensa Thales, la empresa siderúrgica y minera ArcelorMittal, Airbus, Air France KLM, la empresa de logística Kuehne + Nagel, la empresa de energía nuclear EDF y el Departamento de Justicia de Francia.
Los clientes de Centreon se salvaron
Sin embargo, en una declaración enviada por correo electrónico el martes, un portavoz de Centreon escribió que ningún cliente real de Centreon se vio afectado en la campaña de piratería. En cambio, la compañía dice que las víctimas estaban usando una versión de código abierto del software de Centreon que la compañía no ha respaldado durante más de cinco años, y argumenta que se implementaron de manera insegura, lo que incluye permitir conexiones desde fuera de la red de la organización. La declaración también señala que ANSSI ha contado «solo alrededor de 15» objetivos de las intrusiones. «Centreon se está comunicando actualmente con todos sus clientes y socios para ayudarlos a verificar que sus instalaciones estén actualizadas y cumplan con las pautas de ANSSI para un Sistema de información saludable», agrega el comunicado. «Centreon recomienda que todos los usuarios que aún tengan una versión obsoleta de su software de código abierto en producción, la actualicen a la última versión o se comuniquen con Centreon y su red de socios certificados».
Algunos en la industria de la ciberseguridad interpretaron de inmediato el informe ANSSI para sugerir otro ataque a la cadena de suministro de software del tipo llevado a cabo contra SolarWinds. En una gran campaña de piratería revelada a fines del año pasado, los piratas informáticos rusos alteraron la aplicación de monitoreo de TI de esa empresa y solían penetrar en un número aún desconocido de redes que incluye al menos media docena de agencias federales de EE. UU.
Pero el informe de ANSSI no menciona un compromiso de la cadena de suministro, y Centreon escribe en su declaración que «este no es un tipo de ataque a la cadena de suministro y no se puede hacer un paralelo con otros ataques de este tipo en este caso». De hecho, Slowik de DomainTools dice que las intrusiones parecen haberse llevado a cabo simplemente mediante la explotación de servidores conectados a Internet que ejecutan el software de Centreon dentro de las redes de las víctimas. Señala que esto se alinearía con otra advertencia sobre Sandworm que la NSA publicó en mayo del año pasado: la agencia de inteligencia advirtió que Sandworm estaba pirateando máquinas con acceso a Internet que ejecutan el cliente de correo electrónico Exim, que se ejecuta en servidores Linux. Dado que el software de Centreon se ejecuta en CentOS, que también está basado en Linux, los dos avisos apuntan a un comportamiento similar durante el mismo período de tiempo. «Estas dos campañas en paralelo, durante parte del mismo período de tiempo, se utilizaron para identificar servidores vulnerables externos que estaban ejecutando Linux para el acceso inicial o el movimiento dentro de las redes de las víctimas», dice Slowik. (A diferencia de Sandworm, que ha sido ampliamente identificado como parte de GRU, los ataques de SolarWinds aún no se han vinculado definitivamente a ninguna agencia de inteligencia específica, aunque las empresas de seguridad y la comunidad de inteligencia de EE. UU. han atribuido la campaña de piratería al gobierno ruso. .)
“Prepárate para el impacto”
Aunque Sandworm ha centrado muchos de sus ataques cibernéticos más notorios en Ucrania, incluido el gusano NotPetya que se propagó desde Ucrania y causó daños por valor de 10 000 millones de dólares en todo el mundo, GRU no ha rehuído piratear agresivamente objetivos franceses en el pasado. En 2023, piratas informáticos del GRU que se hicieron pasar por extremistas islámicos destruyeron la red de televisión francesa TV5 y sacaron del aire sus 12 canales. Al año siguiente, los piratas informáticos de GRU, incluido Sandworm, llevaron a cabo una operación de pirateo y filtración de correo electrónico con la intención de sabotear la campaña presidencial del candidato presidencial francés Emmanuel Macron.
Si bien la campaña de piratería descrita en el informe de ANSSI no parece haber producido tales efectos disruptivos, las intrusiones de Centreon deberían servir como una advertencia, dice John Hultquist, vicepresidente de inteligencia de la firma de seguridad FireEye, cuyo equipo de investigadores nombró por primera vez a Sandworm en 2023. Señala que FireEye aún tiene que atribuir las intrusiones a Sandworm independientemente de ANSSI, pero también advierte que es demasiado pronto para decir que la campaña ha terminado. «Esto podría ser una recopilación de inteligencia, pero Sandworm tiene un largo historial de actividad que debemos considerar», dice Hultquist. «Cada vez que encontremos a Sandworm con acceso despejado durante un largo período de tiempo, debemos prepararnos para el impacto».
Esta historia apareció originalmente en wired.com.
