Hace unas semanas la compañía tecnológica Centreon anunció que su software de monitoreo fue comprometido por cibercriminales vinculados al gobierno ruso, lo que habría afectado a un número no determinado de usuarios. Ahora, en su más reciente actualización sobre el incidente, Centreon menciona que solo las organizaciones que usan versiones obsoletas de esta solución se verían afectadas por el ataque, presuntamente desplegado por Sandworm.
Cabe recordar que Sandworm, también conocido como BlackEnergy/TeleBots, es un sofisticado grupo de ciberespionaje activo desde hace más de 20 años. Los expertos creen que este grupo forma parte de la Unidad 74455, principal programa de tecnología del gobierno de Rusia. Este grupo ha sido vinculado a incidentes relevantes como los ataques KillDisk dirigidos contra infraestructura crítica en Ucrania, además de que se les señala como principales desarrolladores del peligroso ransomware NotPetya.
Este anuncio viene después de que ANSSI, la agencia de ciberseguridad francesa, publicara un informe detallando una serie de incidentes de seguridad que derivaron en la brecha de información de algunos proveedores de servicios de TI desde hace algunos años.
La agencia de ciberseguridad francesa menciona que el primer incidente fue reportado a finales de 2017, con nuevos ataques detectados constantemente hasta 2020. ANSSI reporta que todas las organizaciones comprometidas durante este lapso de tiempo ejecutaban el software de monitoreo de TI de Centreon. Aún así, la agencia no ha sido capaz de detectar el vector de ataque utilizado para comprometer estos servidores e instalar el backdoor conocido como Exaramel.
En respuesta a este reporte, Centreon menciona que sus clientes no se han visto comprometidos por estos ataques, ya que estos incidentes estaban relacionados con una versión obsoleta y gratuita de su software, lanzada en 2014. La compañía afirma que desde el lanzamiento de esa versión vulnerable se han lanzado ocho versiones más: “Son alrededor de 15 organizaciones afectadas por esta campaña, todas operando una versión de código abierto que fue descontinuada hace cinco años”, menciona Centreon.
Por otra parte, Centreon enfatiza que no se trata de un ataque de cadena de suministro, pues los perpetradores del ataque no abusaron de su plataforma para la entrega de código malicioso en las redes de sus clientes como ocurrió recientemente en SolarWinds: “ANSSI concluyó que nuestros servidores no fueron abusados para la distribución de código malicioso”, agrega el mensaje de la compañía.
Los reportes de ANSSI aseguran que esta campaña es muy similar a otras desplegadas por los hackers de Sandworm, ya que también incluye técnicas como el lanzamiento de campañas de spam y etapas de intrusión temprana antes de iniciar el ataque real. La agencia también menciona que los servidores C&C que controlan este malware operan de forma similar a otras campañas anteriores.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad