Centreon : 4 questions sur la cyberattaque qui inquiète les entreprises françaises
L'Agence nationale de la sécurité des systèmes d'information (Anssi) a publié un long rapport, le 15 février 2021, sur une campagne de cyberattaques longue de 3 ans, entre 2017 et 2020, avec pour cible principale l'entreprise française Centreon.
Le rapport de l'Anssi, précis et détaillé, s'adresse à un lectorat d'experts. Pour vous permettre de mieux comprendre le fonctionnement et la gravité de l'attaque, Cyberguerre a extrait les questions centrales de l'affaire.
Mise à jour du 16 février 2021 à 18h06 :
Suite à la publication du rapport de l'Anssi, Centreon s'est entretenu avec l'agence et a publié un communiqué pour rassurer sur l'ampleur de l'attaque : « aucun client de Centreon n’a été impacté. L’Anssi précise que seule une quinzaine d’entités ont été la cible de cette campagne, et qu’elles sont toutes utilisatrices d’une version open source obsolète (v2.5.2), qui n’est plus supportée depuis 5 ans. » Elle ajoute : « le rapport de l’Anssi et nos échanges avec ces derniers confirment que Centreon n’a pas distribué ou contribué à propager de code malicieux. Il ne s’agit pas d’une attaque de type supply chain et aucun parallèle avec d’autres attaques de ce type ne peut être fait dans ce cas. » Autrement dit, seuls des utilisateurs peu prudents de la version gratuite de Centreon ont été touchés. Quant à l'hypothèse d'un « SolarWinds français », elle est écartée.
Article initial publié le 16 février à 16h54 :
, édite un logiciel du même nom, qui est au cœur de l'affaire.Qui sont les victimes ?
L'entreprise Centreon
Centreon n'a pour l'instant pas eu le temps de prendre du recul sur l'attaque, mais elle a communiqué auprès de l'AFP : « Centreon a pris connaissance des informations publiées par l’Anssi ce soir [lundi], au moment de la publication du rapport, qui concernerait des faits initiés en 2017, voire en 2015. Nous mettons tout en œuvre pour prendre la mesure exacte des informations techniques présentes dans cette publication.» Une enquête interne pourrait révéler de plus de détails sur les techniques employées par ses attaquants.
Reste à savoir qui d'autre a été touché par la cyberattaque : l'Anssi parle de victimes au pluriel, mais ne donne pas de nom. Elle précise : « Cette campagne a principalement touché des prestataires de services informatiques, notamment d’hébergement web. » En parallèle, plusieurs experts discutent déjà de l'éventualité d'une attaque par rebond : selon cette théorie, Centreon ne serait pas la finalité de l'opération, mais un pont d'accès vers d'autres cibles, ses clients. Ces derniers vont devoir analyser leurs propres serveurs, une démarche chronophage en raison de la lourdeur des réseaux, afin de déterminer si la campagne les a touchés.
En quoi consiste l'attaque contre Centreon ?
Les auteurs de la campagne de piratage ont utilisé deux malwares distincts contre des serveurs où Centreon était installé, avec une même finalité : ouvrir un accès sur le serveur de sa victime, dans l'objectif d'exfiltrer certains des fichiers et d'en importer d'autres. L'Anssi précise que non seulement les versions infectées de Centreon qu'il a observées n'étaient pas à jour, mais qu'en plus elles étaient exposées à Internet.
Le web shell, un panneau de gestion contrôlé par les hackers
D'abord, les hackers sont parvenus à déposer un « web shell » sur plusieurs serveurs où une vieille version de Centreon était présente. Concrètement, ils ont installé une interface de contrôle du serveur, sans que l'entreprise victime ne le détecte. Dans le jargon, on parle de porte dérobée, puisqu'elle permet d'accéder à l'intérieur d'un système sans passer par la porte principale, et donc d'éviter les protections.
L'Anssi précise que les hackers ont utilisé un web shell connu sous l'acronyme P.A.S., qui circule depuis plus de 5 ans dans les sphères cybercriminelles. Son point fort ? Il dispose d'une méthode de dissimulation particulièrement efficace, qui lui permet de passer au travers de la plupart des outils d'analyse utilisés par les défenseurs. Une fois installé, il permet de lister, contrôler et modifier les fichiers présents sur la machine, ainsi que d'y déposer ses propres fichiers (et donc, des malwares). En résumé, l'outil reproduit les possibilités du « Bureau » de Windows et du « Finder » de MacOS, au niveau du serveur. Mais ce n'est pas tout : il peut aussi interagir avec les bases de données SQL, ce qui lui donne un accès à un autre pan d'information du système.
Créé par un étudiant ukrainien au milieu des années 2010, le web shell P.A.S. était téléchargeable librement, et son développeur se contentait de demander des dons. Puisqu'il était pratiquement gratuit, l'outil a largement été utilisé, notamment dans des campagnes d'attaque WordPress. Mais en 2016, le développeur a arrêté de le mettre à jour : P.A.S. était cité sous le nom « Fobushell » dans un rapport des autorités américaines sur les tentatives de déstabilisations de l'élection présidentielle opposant Trump et Clinton. Depuis, P.A.S. continue de s'échanger dans certaines sphères, mais il n'est plus attribué à une seule personne ou groupe.
Exaramel, un cheval de Troie en attente de commandes
Les attaquants sont aussi parvenus à implanter un cheval de Troie baptisé Exaramel sur certains serveurs où des versions périmées de Centreon étaient installés. Une fois sur le système de la victime, ce type de malware ouvre une porte dérobée aux hackers. Pour y parvenir, il va d'abord envoyer un signal vers une liste de serveurs de contrôle pilotés par les attaquants. Une fois que l'un d'entre eux lui répond, il va ouvrir un pont de communication, chiffré en HTTPS. Ce pont va servir à déployer d'autres logiciels malveillants dans un sens, et à exfiltrer des informations dans l'autre.
L'Anssi note que sa mise en fonctionnement n'est pas toujours réussie, car le malware est incapable de distinguer lorsqu'un serveur de contrôle ne fonctionne pas correctement. Contrairement à P.A.S., Exaramel n'est pas un outil en accès libre. L'entreprise ESET, qui l'a découvert, lui trouve des similitudes avec une autre porte dérobée développée par le groupe de cyberespion « Sandworm », qui en serait le créateur.
Comment les hackers ont-ils contaminé Centreon ?
C'est le grand point d'interrogation de l'affaire : malgré ses recherches, l'Anssi ne sait pas comment les hackers ont réussi à pénétrer les serveurs de Centreon. Dès lors, deux principales hypothèses circulent, sans qu'elles aient été commentées par les principaux concernés :
La plus probable : les hackers auraient profité de vulnérabilités connues sur certains logiciels utilisés par Centreon afin de déposer leur code malveillant. Les attaquants peuvent analyser quels logiciels leurs cibles ne mettent pas suffisamment à jour, et s'engouffrer dans la brèche à l'aide d'outils déjà existants.
L'hypothèse de la supply chain attack. Le rapprochement entre l'affaire Centreon et la récente affaire SolarWinds est trop tentant. Pour rappel, des hackers russes sont parvenus à compromettre le moteur de production du logiciel de gestion de réseau Orion. SolarWinds a donc distribué pendant plusieurs mois une version de son logiciel vérolée par un cheval de Troie. Parmi ses clients, la véritable cible des pirates : le gouvernement américain. Le parallèle avec la situation de Centreon est évident : on retrouve un logiciel de gestion de réseau, avec une prestigieuse clientèle, victime d'une attaque probablement russe. Mais pour l'instant aucun détail technique n'appuie cette théorie d'un « SolarWinds français ».
Qui est derrière l'attaque ?
L'attribution d'une cyberattaque est toujours un exercice périlleux. Elle se fait le plus souvent en reconnaissant la méthode de l'attaque, ou en analysant de près le code des malwares. À ces discussions techniques s'ajoutent les enjeux politiques, car accuser un pays d'une cyberattaque massive est loin d'être insignifiant.
De son côté, l'Anssi fait l'équilibriste en distinguant « le mode opératoire » et « le groupe d'attaquant ». « Un mode opératoire est la somme des outils, tactiques, techniques, procédures et caractéristiques mises en œuvre par un ou plusieurs acteurs malveillants dans le cadre d’une ou plusieurs attaques informatiques. Il n’est pas à confondre avec un groupe d’attaquants, composé d’individus ou d’organisations », écrit-il.
L'agence insiste : si elle attribue l'attaque au « mode opératoire » Sandworm, elle ne l'attribue pas au groupe de cyberespion Sandworm. Ce dernier est lié au GRU, une des branches du renseignement russe. C'est un nom bien connu dans le milieu, puisque Sandworm est responsable de NotPetya, un ver informatique destructeur devenu hors de contrôle entre mars et juin 2017. Dans le cas de l'attaque de Centreon, l'Anssi a reconnu un malware utilisé par Sandworm, ainsi que des serveurs de contrôle déjà utilisés par le groupe. D'où l'attribution au « mode opératoire ».
Dans la presse américaine, la distinction sémantique voulue par l'Anssi n'a pas été prise en compte. Par exemple, Wired titre : « La France attribue une campagne de hacking sur plusieurs années aux Russes de Sandworm. » Guillaume Poupard, directeur de l'agence, a d'ailleurs relayé cet article sous une de ses publications où il évoque un « ciblage très inamical et irresponsable ! ». ZDNet de son côté, parle de « hackers sponsorisés par l'état russe ».
Mais la distinction est importante : en se contentant de parler de « mode opératoire », l'agence ne fait pas de véritable attribution. Après tout, un autre groupe pourrait avoir utilisé la même infrastructure et les mêmes outils. En revanche, si le groupe Sandworm est bien à l'origine de l'attaque, c'est un point inquiétant. Généralement, ces hackers russes n'interviennent pas pour collecter des informations, mais plutôt pour détruire des pans entiers de réseaux informatiques.