Organisaties zijn jarenlang aangevallen via de monitoringtool Centreon, zo waarschuwt de Franse overheid. Centreon, ontwikkeld door het gelijknamige bedrijf, laat organisaties hun it-omgeving monitoren, zoals applicaties, systemen en netwerken. Het is vergelijkbaar met het bekende monitoringsprogramma Nagios.

Het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) meldt in een nieuw Engelstalig rapport dat meerdere Franse organisaties via de Centreon-software zijn gecompromitteerd (pdf). De eerste slachtoffers dateren van eind 2017 en de laatste slachtoffers werden vorig jaar waargenomen. De aanvallen waren vooral gericht op it-bedrijven en dan met name hostingproviders.

ANSSI ontdekte op de Centreon-servers van getroffen organisaties een webshell van de aanvallers. Dit is een script waarmee een aanvaller de server op afstand kan benaderen en allerlei code en commando's kan uitvoeren. Vaak worden webshells voor verdere aanvallen ingezet. Hoe de aanvallers toegang tot de Centreon-systemen wisten te krijgen is op dit moment onbekend, aldus de Franse overheidsorganisatie.

Volgens ANSSI hebben de waargenomen aanvallen overeenkomsten met eerdere aanvallen uitgevoerd door een groep genaamd Sandworm, ook bekend als BlackEnergy en Telebots. Volgens securitybedrijven gaat het hier om eenheid 74455 van de Russische militaire inlichtingendienst GRU. De groep wordt onder andere verantwoordelijk gehouden voor de aanval met de NotPetya-malware en aanvallen op het elektriciteitsnet van Oekraïne.

In het document worden verschillende indicatoren gegeven waarmee de aanwezigheid van de malware is te detecteren. Verder adviseert ANSSI het tijdig patchen van systemen, ervoor zorgen dat de webinterface van monitoringstools niet vanaf het internet voor iedereen toegankelijk is, het hardenen van servers en het bewaren van logbestanden voor een periode van minimaal een jaar.