Los ataques dirigidos a empresas de TI generan preocupación y controversia


La puerta trasera de Exaramel, descubierta por ESET en 2018, resurge en una campaña que afecta a las empresas que utilizan una versión obsoleta de una popular herramienta de monitoreo de TI.

Agencia nacional de ciberseguridad de Francia ANSSI ha revelado detalles sobre una campaña de intrusión dirigida a empresas de servicios de TI que ejecutan la herramienta de monitoreo de recursos de TI de Centreon. Se cree que los ataques han permanecido fuera del radar durante hasta tres años y han afectado principalmente a proveedores de alojamiento net con sede en Francia.

“En los sistemas comprometidos, ANSSI descubrió la presencia de una puerta trasera en forma de webshell en varios servidores de Centreon expuestos a Net. Esta puerta trasera fue identificada como la P.A.S. webshell, número de versión 3.1.4. En los mismos servidores, ANSSI encontró otra puerta trasera idéntica a la descrita por ESET y llamada Exaramel ”, dijo la agencia.

De hecho, este último fue descubierto y analizado por investigadores de ESET en 2018. Si bien es una actualización de la puerta trasera que estaba en el corazón de Industroyer, que provocó un apagón de una hora en y alrededor de la capital de Ucrania, Kiev, a finales de 2016, ESET detectó Exaramel en una organización que no es una instalación industrial. Tanto Exaramel como Industroyer son obra del grupo APT TeleBots (también conocido como Sandworm), que también desató la NotPetya (también conocido como DiskCoder.C) limpiador disfrazado de ransomware en 2017. TeleBots desciende de BlackEnergy, un grupo cuyo malware homónimo fue responsable de un corte de energía que afectó a un cuarto de millón de hogares en Ucrania a finales de 2015.

Según ANSSI, el vector de ataque inicial y el propósito de la campaña contra las empresas que dirigen Centreon no están claros. Aunque de naturaleza diferente, los ataques causaron inmediatamente preocupaciones acerca de que las incursiones fueran potencialmente tan dañinas como la Hack de SolarWinds.

Desactualizado y sin parches

Poco después de que se conociera la noticia, Centreon, el desarrollador detrás de la herramienta de monitoreo del mismo nombre, arrojó nueva luz sobre el tema. La compañía enfatizó que el actor de la amenaza se infiltró en 15 «entidades», pero ninguna de las filas de sus numerosos clientes, una lista de los cuales incluye muchas empresas de primera línea.

Es importante destacar que la campaña se centró en versiones del application de Centreon que tienen cinco años de vida útil y fueron utilizadas por desarrolladores de código abierto, dijo la firma. Además, contrariamente a las recomendaciones de la empresa, las interfaces world wide web de las herramientas estuvieron expuestas a Web.

La empresa negó que se tratara de un ejemplo de un ataque a la cadena de suministro y recomendó que todos los usuarios que aún ejecutan una de las versiones obsoletas de la herramienta deben actualizar a una versión más nueva y compatible.





Enlace a la noticia primary