L’ANSSI accuse Sandworm, un groupe d’acteurs malveillants soutenu par l’Etat russe, d’être derrière une campagne de cyberattaques ayant ciblé plusieurs entreprises technologiques. L’agence française de cybersécurité confirme qu’un groupe de pirates militaires russes, appelé Sandworm, serait à l’origine d’une opération de trois années qui leur a permis de pénétrer dans les réseaux internes de nombreuses entités françaises utilisant le logiciel de surveillance informatique Centreon.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié un rapport technique incluant les détails de ces attaques. « Cette campagne a principalement touché des prestataires de services informatiques, notamment d’hébergement web », précise l'ANSSI. « Les premières compromissions identifiées par l’ANSSI datent de fin 2017 et se sont poursuivies jusqu’en 2020. »

D’après l’ANSSI, les pirates auraient ciblé les systèmes Centreon qui restaient connectés à internet. L’Agence française ne peut pas confirmer si les attaques résultaient de l’exploitation d’une faille dans le logiciel de Centreon ou si les pirates aient réussi à trouver les mots de passe des comptes administrateurs. Lorsque les attaquants arrivaient à s’introduire, ils installaient une version du web shell P.A.S et de la porte dérobée du cheval de Troie Exaramel, deux souches de malwares qui, utilisés ensemble, leur permettraient d’avoir un contrôle total du système compromis et de son réseau adjacent. L’ANSSI a indiqué avoir réussi à relier ces attaques à un groupe appelé Sandworm, qui est un groupe de menace persistante avancée.

L’ANSSI prévient et incite les organisations françaises et internationales à inspecter leurs installations Centreon. Le but est de repérer la présence de deux souches de malwares, P.A.S et Exaramel, qui serait signe d’une intrusion par Sandworm dans le courant de ces dernières années.