Während der Rest der Welt noch die durch den Solarwinds-Hack verursachten Schäden erfasst, hat Frankreich jetzt bekannt gegeben, dass es dort einen Cyberangriff von potenziell ähnlicher Tragweite gegeben hat, der offenbar ganze drei Jahre lang unentdeckt blieb. Die ersten Opfer wurden bereits Ende 2017 gehackt, bis 2020 gab es weitere Angriffe. Hervor geht das aus einem Bericht der französischen Cybersicherheitsbehörde, kurz ANSSI.
Einfallstür offenbar eine Software namens Centreon
Laut ANSSI hat eine Hackergruppe erfolgreich die Server verschiedener französischer Unternehmen kompromittiert, die die gleichnamige Software eines französischen IT-Unternehmens namens Centreon nutzten. Unter den Kunden Centreons sind viele französische Regierungsbehörden, das Justizministerium sowie laut Website des Dienstleisters einige der größten Unternehmen des Landes, darunter Airbus, Air France KLM, Arcelor Mittal und die Telekommunikationsanbieter Orange und Opticomm.
In einem Statement von Dienstag, das Wired vorliegt, stellt ein Unternehmenssprecher allerdings klar, dass unter den Opfern des Hackerangriffs keine tatsächlichen Kunden Centreons seien. Die etwa 15 von ANSSI gezählten Ziele des Hacks hätten allesamt eine Open-Source-Version von Centreons Software verwendet, die bereits seit fünf Jahren nicht mehr unterstützt werde. Zudem hätten die Opfer diese unsicher deployed.
Parallelen zu russischer Militär-Hackergruppe Sandworm
Explizit schreibt die Cybersicherheitsbehörde den Hack keiner Organisation zu, laut der Behörde ähneln die verwendeten Techniken jedoch denen der russischen Militär-Hackergruppe „Sandworm“, auch bekannt als Unit 74455. Aus dem Bericht der ANSSI geht nicht hervor, wie die Hackergruppe in die Server eindringen konnte. Einmal im System, nutzten die Hacker Webshells – bösartige Skripte, die es Angreifern erlauben, ein System aus der Ferne zu kapern und zu kontrollieren.
Konkret wurden auf den Servern zwei unterschiedliche Malwares identifiziert. Eine offen verfügbare Hintertür namens PAS und eine weitere namens Exaramel, die die slowakische Cybersicherheitsfirma ESET 2018 als ein von Sandworm in vorherigen Angriffen genutztes Tool identifizierte. Dass Hackergruppen die Malware und Techniken anderer Hacker wiederverwenden, ist nicht ungewöhnlich, zudem ist es eine beliebte Taktik, um die Untersuchungen auf eine falsche Fährte zu führen. Jedoch gab es zudem Überschneidungen bei der in der Centreon-Hackerkampagne verwendeten Kommando- und Kontrollserver zu vorherigen Sandworm-Angriffen, was den Verdacht einer Verbindung zu Sandworm erhärtet. Auch das sonstige Vorgehen passe zu der Gruppe: „Es ist allgemein bekannt, dass Sandworm mehrere aufeinanderfolgende Angriffe durchführt, bevor es sich auf ausgewählte Ziele innerhalb des Opferpools konzentriert, die den strategischen Interessen entsprechen. Die beobachtete Kampagne passt zu diesem Verhalten.“
Zu notorischer Berühmtheit gelangte Sandworm in den vergangenen Jahren durch eine Reihe krimineller Aktivitäten, darunter der Manipulationsversuch der französischen Wahlen im Jahr 2017, zahllose Ransomware-Attacken auf amerikanische Unternehmen und der Versuch, die Olympischen Spiele 2018 in Pyeongchang zu hacken. Erst im vergangenen Oktober wurde ein halbes Dutzend russischer Geheimdienstarbeiter aufgrund ihrer Mitwirkung an Verbrechen der Hackergruppe von der US-Justiz angeklagt.