Badan keamanan siber nasional Prancis telah mengaitkan serangkaian serangan yang mengakibatkan pelanggaran beberapa penyedia TI Prancis selama rentang empat tahun ke grup peretasan Sandworm yang didukung Rusia.
ANSSI (kependekan dari Agence Nationale de la Sécurité des Systèmes d’Information) belum dapat menentukan bagaimana server disusupi.
Oleh karena itu, belum jelas apakah para penyerang mengeksploitasi kerentanan dalam perangkat lunak Centreon yang terekspos atau para korban dikompromikan melalui serangan rantai pasokan.
“Korban pertama tampaknya telah dikompromikan sejak akhir 2017. Kampanye tersebut berlangsung hingga 2020,” kata ANSSI dalam laporan yang diterbitkannya.
“Kampanye ini sebagian besar memengaruhi penyedia teknologi informasi, terutama penyedia web hosting.”
ANSSI menemukan bahwa para penyerang menyebarkan backdoors web shell Exaramel dan PAS (alias Fobushell) saat menganalisis server yang disusupi di jaringan organisasi yang terkena dampak.
Para penyerang menggunakan VPN publik dan komersial serta layanan anonimisasi saat menghubungkan ke pintu belakang termasuk jaringan Tor, EXpressVPN, VPNBook, dan PrivateInternetAccess (PIA).
Menurut badan keamanan siber Prancis, kampanye tersebut menunjukkan beberapa kesamaan dengan perilaku yang diamati saat menganalisis serangan Sandworm sebelumnya, termasuk kampanye penyusupan sebelum memilih salah satu korban untuk kompromi lebih lanjut.
ANSSI juga mengatakan bahwa infrastruktur komando dan kontrol yang digunakan oleh pelaku ancaman untuk mengendalikan malware yang disebarkan pada mesin korban yang dikompromikan dikenal sebagai server yang dikendalikan Sandworm.
Selengkapnya: Bleeping Computer
