フランスの政府機関が3年間にわたる国内企業へのハッキング被害について報告、ロシアのハッカーが関与か

フランスの国家情報システムセキュリティ庁(ANSSI)が、2017年後半から2020年にかけて、ロシアの政府機関と関連するとみられるハッカーグループが、国内のITサービス事業者にハッキングを仕掛けていたことを発表しました。一連の攻撃は同名の企業が提供するシステム監視ソフトウェア・Centreonをターゲットにしたものだとのことです。

Sandworm intrusion set campaign targeting Centreon systems – CERT-FR
https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-005/

French IT monitoring company's software targeted by hackers: cyber agency | Reuters
https://www.reuters.com/article/us-global-cyber-centreon-idUSKBN2AF1RA

France links Russian Sandworm hackers to hosting provider attacks
https://www.bleepingcomputer.com/news/security/france-links-russian-sandworm-hackers-to-hosting-provider-attacks/

France: Russian state hackers targeted Centreon servers in years-long campaign | ZDNet
https://www.zdnet.com/article/france-russian-state-hackers-targeted-centreon-servers-in-years-long-campaign/

ANSSIが発表した報告書によると、被害を受けたのは主にホスティングサービスを提供する企業で、具体的な名称は明かされていませんが、共通点として、システム監視プラットフォーム「Centreon」を利用していたことが挙げられています。

ハッカーは「Centreon」にハッキングを仕掛け、サーバーへの侵入に成功するとExaramelやP.A.S. web shellといったバックドアを展開して、侵害したシステムや隣接するネットワークを完全に制御したそうです。

また、ハッカーは攻撃の際に公共または商用のVPNサービスや、Torなどの匿名化サービスを利用していたとANSSIは述べています。なお、最初にシステムへ侵入する際にCentreonの脆弱性(ぜいじゃくせい)が使われたのか、それとも管理者アカウントなどへのサプライチェーン攻撃が行われたのかは不明だとのこと。

一連のハッキング攻撃について分析したANSSIは、攻撃の手口がロシア連邦軍参謀本部情報総局(GRU)が関与するといわれるハッカーグループ「Sandworm」と類似していると指摘。Sandwormは2000年代半ばから活動するサイバースパイグループであり、GRUの74455部隊に属するとみられています。

Sandwormは2016年にウクライナで発生した大規模な停電や、各国の政府機関や電力会社などを機能不全に追い込んだマルウェア「NotPetya」による攻撃、日本の物流企業を標的にしたサイバー攻撃、オリンピックへのハッキングなど、多岐にわたるサイバー攻撃に関わっているとのこと。

2020年に発覚したアメリカ政府機関への大規模なハッキングでは、サイバーセキュリティ企業・SolarWindsのソフトウェアが標的となりました。CentreonとSolarWindsのソフトウェアは類似した機能を持っていたとのことで、ハッカーにとってシステム監視ソフトウェアは非常に魅力的な標的であるとロイター通信は述べています。