Enquanto os EUA continuam mapeando as consequências do hack “SolarWinds” que atingiu o governo e a indústria, a França anunciou que também sofreu um grande ataque cibernético recente. A notícia vem por meio de um relatório técnico lançado pela Agência Francesa de Cibersegurança Nacional (ANSSI). Assim como os Estados Unidos, as autoridades francesas deram a entender que a Rússia provavelmente está envolvida no caso.
De acordo com a ANSSI, um sofisticado grupo de hackers conseguiu penetrar com sucesso nos produtos da Centreon Systems, uma empresa francesa de TI especializada em monitoramento de rede e sistema que é usada por muitas agências governamentais francesas, bem como por algumas das maiores companhias do país. Entre elas estão o Departamento de Justiça da França, agências públicas regionais, empresas de produção agroalimentar e a companhia aérea Air France.
Embora a ANSSI não tenha oficialmente atribuído o hack a nenhuma organização, a agência diz que as técnicas usadas têm semelhanças com as que foram usadas pelo grupo de hackers russos “Sandworm”, também conhecido como Unidade 74455. A invasão permitiu que os hackers violassem os sistemas de uma série de organizações francesas, apesar de a ANSSI ter se recusado a nomear as vítimas ou dizer quantas foram afetadas.
Não está claro no relatório como os hackers comprometeram a Centreon. Contudo, o documento mostra que, uma vez dentro do sistema, eles usaram webshells para promover suas campanhas de intrusão. Webshells são scripts maliciosos que permitem que um agente mal-intencionado sequestre remotamente um site ou sistema, e então assuma o controle dessas plataformas. No caso da Centreon, os hackers usaram dois scripts diferentes: P.A.S. e Exaramel. Ambos agiam como backdoor que poderia permitir ao hacker obter o controle do sistema e controlá-lo remotamente.
O relatório também observa que o backdoor Examarel é idêntico ao usado em uma campanha diferente dos hackers Sandworm, e que tinha sido previamente identificado pela empresa de segurança francesa ESET:
[A ESET] notou as semelhanças entre este backdoor e o Industroyer que era usado pelo conjunto de intrusão TeleBots, também conhecido como Sandworm [7]. Mesmo que essa ferramenta possa ser facilmente reutilizada, a infraestrutura de Comando e Controle era conhecida pela ANSSI por ser controlada pelo conjunto de intrusão. De um modo geral, o grupo Sandworm é conhecido por liderar campanhas de intrusão consequentes antes de se concentrar em alvos específicos que se encaixam em seus interesses estratégicos dentro do grupo de vítimas. A campanha observada pela ANSSI se enquadra nesse comportamento.
Sandworm ganhou notoriedade ao longo dos anos, tanto por sua atividade criminosa quanto por sua intromissão política. Em outubro passado, meia dúzia de oficiais de inteligência russos foram indiciados pelo Departamento de Justiça dos EUA, incluindo tentativa de interferência nas eleições francesas de 2017, “quase um bilhão de dólares em perdas” em ataques de ransomware a empresas americanas e tentativas de hackear as Olimpíadas de 2018 em Pyeongchang.