กลุ่มแฮกเกอร์ “Sandworm” ที่อาจเกี่ยวข้องกับรัฐบาลรัสเซียได้ปฏิบัติการเจาะระบบ Centreon ซึ่งเป็นซอฟต์แวร์เฝ้าติดตามและตรวจสอบเครือข่ายของบริษัทในฝรั่งเศสหลายแห่งเป็นเวลากว่า 3 ปี ระหว่างปี 2560 – 2563 โดยสำนักความมั่นคงปลอดภัยไซเบอร์ของฝรั่งเศส (Agence nationale de la sécurité des systèmes d’information – ANNSI) ตรวจพบโปรแกรมประสงค์ร้ายที่ใช้ควบคุมเครื่องคอมพิวเตอร์แม่ข่ายผ่านเว็บ (Webshell) ชื่อ “P.A.S. Webshell” และ “Exaramel” ฝังตัวอยู่ในเครื่องคอมพิวเตอร์แม่ข่าย Linux CentOS ที่ติดตั้งซอฟต์แวร์ Centreon และมีการเชื่อมต่อกับอินเทอร์เน็ต รวมถึงพบว่ากลุ่มแฮกเกอร์มุ่งโจมตีบริษัทผู้ให้บริการเว็บไซต์ (web hosting) เป็นพิเศษ
โปรแกรม webshell สามารถจัดการไฟล์ข้อมูล เข้าถึงฐานข้อมูล สุ่มรหัสผ่าน และส่งชุดคำสั่งควบคุมเครื่องคอมพิวเตอร์แม่ข่ายผ่านเว็บเพจได้ และยังติดต่อสื่อสารแบบเข้ารหัสแบบ HTTPS ผ่านเครื่องคอมพิวเตอร์ควบคุมและสั่งการ (Command-and-Control – C2) ได้อีกด้วย ด้าน ANNSI ได้แนะนำให้ผู้ใช้บริการซอฟต์แวร์ Centreon เร่งปรับปรุงซอฟต์แวร์ให้เป็นรุ่นล่าสุด ติดตั้งโปรแกรมปรับปรุง (patches) และไม่เชื่อมต่อคอมพิวเตอร์แม่ข่ายดังกล่าวกับอินเทอร์เน็ต
ก่อนหน้านี้ เมื่อ ต.ค.63 รัฐบาลสหรัฐ ฯ ประกาศจับเจ้าหน้าที่ข่าวกรองทหาร (GRU) ของรัสเซีย 6 นาย ที่มีส่วนเกี่ยวข้องกับการใช้มัลแวร์โจมตีทางไซเบอร์และเป็นสมาชิกกลุ่มแฮกเกอร์ Sandworm หรือที่รู้จักกันในชื่อ APT28, Telebots, Voodoo Bear และ Iron Viking ซึ่งเคยโจมตีโรงไฟฟ้าของยูเครน โจมตีกระทรวงพาณิชย์และกระทรวงการคลังของสหรัฐฯ รวมถึงโจมตีทางไซเบอร์ที่สร้างความเสียหายร้ายแรงต่อหลายประเทศทั่วโลก
อย่างไรก็ตาม บริษัท Centreon ของฝรั่งเศสซึ่งเป็นผู้ผลิตซอฟต์แวร์ Centreon ออกแถลงการณ์เมื่อ 16 ก.พ. 64 ชี้แจงว่า ไม่มีลูกค้ารายใดของ Centreon ได้รับผลกระทบจากการเจาะระบบตามที่ ANNSI รายงาน เนื่องจากซอฟต์แวร์ Centreon รุ่นปัจจุบันไม่มีช่องโหว่ดังกล่าวแล้ว และเหยื่อทั้งหมดที่ถูกเจาะระบบเป็นผู้ใช้ Centreon แบบ opensource ซึ่งไม่เสียค่าใช้จ่ายซึ่งบริษัท Centreon หยุดสนับสนุนการใช้งานมานานกว่า 5 ปีแล้ว และมีบริษัทเพียง 15 แห่งที่ตกเป็นเป้าหมาย
ที่มา : https://thehackernews.com/2021/02/hackers-exploit-it-monitoring-tool.html
