法國ANSSI在近日的一份報告中指出，名為Sandworm的俄方黑客組織，對該國IT公司Centreon的服務器展開了持續三年的APT攻擊。由該國情報系統發布的技術報告詳情可知，在此期間，黑客破壞了多個運行Centreon IT監控軟件的法國實體的內部網絡。

（圖自：Centreon）

ANSSI 官員表示，Sandworm 攻擊主要針對信息技術提供商，尤其是Web 託管服務商。第一位受害者可以追溯到2017 年末，且黑客活動持續到了2020 年。

據悉，受害者的網絡都連接到了Centreon 。作為法國CENTREON 公司開發的IT 資源監視平台，其功能類似於SolarWinds 的Orion 平台。

（圖自：ANSSI | PDF）

ANSSI 表示，攻擊者盯上了連接至互聯網的Centreon 中間系統。至於Sandworm 是否利用了軟件中的漏洞、或者得到了管理員賬戶的登錄憑證，目前暫不得而知。

在入侵得逞後，攻擊者安裝了某個版本的PAS Web Shell 和Exaramel 後門木馬。在這兩款惡意軟件的配合下，黑客得意完全控制受感染的系統、及其相鄰網絡。

考慮到攻擊者採取了相當罕見的步驟，ANSSI 將此事與Snadworm 的高級持續威脅（APT）行動相關聯。

2020 年10 月，美國司法部指控六名俄方官員參與了該組織精心策劃的網絡攻擊，並指向了俄羅斯GRU 情報機構的 74455 網絡部隊。

據說該組織先前的行動，包括2015 ~ 2016 年影響烏克蘭全境的電網崩潰、2017 年的NotPetya 勒索軟件爆發、2018 年的平昌冬奧會開幕式攻擊、以及2019 年的格魯吉亞大規模網站毀壞。

在今日的報告中，ANSSI 還警告並敦促法國和國際組織檢查其Centreon 安裝包中是否存在兩種PAS 和Exaramel 惡意軟件。若有檢出，則表明企業在過去幾年遭到過Sandworm 攻擊。