Este lunes en Francia la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI), declaró: que un ciberataque cuyo “modus operandi” coincide con el empleado por el grupo ruso de “hackers” Sandworm, afectó a varias empresas francesas entre finales de 2017 al 2020.
La agencia francesa en conjunto con el Centro Gubernamental de Monitoreo, Alerta y Respuesta a Ataques Informáticos (CERT-FR), anunció este lunes 15 de febrero del 2021 haber identificado una campaña dirigida a varias entidades francesas. Según el comunicado se produjo a través de la plataforma de monitoreo Centreon, que es un software que puede supervisar toda la infraestructura de TI, bases de datos, sistemas operativos, virtualización, y sistemas de red.
Entre algunos clientes figuran el grupo francés EDF (Electricité de France), empresa considerada líder mundial en energía baja en carbono, la empresa de defensa Thales (Thales Group), dedicada al desarrollo de sistemas de información y servicios para los mercados aeroespacial, de defensa y seguridad, el Ministerio de Justicia y la petrolera Total.
Los primeros incidentes identificados fueron a finales de 2017, y continuaron hasta el pasado año 2020. Esta campaña afectó principalmente a los proveedores de servicios de TI, en particular a los dedicados al alojamiento web, de acuerdo con lo informado por ANSSI.
El atacante utiliza una puerta trasera tipo webshell en los sistemas que se encuentran expuestos a internet, según lo advertido por ANSSI esta campaña tiene mucha similitud con el modus operandi de Sandworm, piratas informáticos rusos, por lo que recomiendan actualizar la plataforma de monitoreo Centreon inmediatamente cuando exista una nueva versión disponible, limitar la exposición a internet de las herramientas y reforzar la seguridad de los servidores.
El informe completo e indicadores de compromisos están disponibles en el sitio oficial de CERT-FR.
