Cyberthreat.id – Badan Keamanan Siber Prancis (ANSSI) mengungkapkan kelompok peretas yang didukung negara Rusia, dikenal dengan nama Sandworm, selama tiga tahun terakhir menargetkan sejumlah entitas Prancis yang menggunakan perangkat lunak pemantau jaringan TI milik Centreon.    

“Kampanye yang dilakukan Sandworm ini berdampak pada penyedia teknologi informasi khususnya penyedia web hosting, dengan korban pertama yang tampaknya telah disusupi sejak akhir 2017 dan berlangsung hingga 2020,” ungkap ANSSI dalam laporan yang dirilis Senin kemarin (15 Februari 2021) seperti dilaporkan ZDnet.

Menurut ANSSI, Sandworm masuk ke jaringan korban setelah terlebih dahulu membobol server Centreon, yang merupakan platform pemantauan sumber daya TI yang dikembangkan oleh perusahaan Prancis. Centreon berfungsi seperti platform Orion buatan SolarWinds yang turut diserang yang menggegerkan Amerika Serikat baru-baru ini.

Seperti Orion yang banyak digunakan oleh lembaga pemerintah Amerika, Centreon juga banyak digunakan oleh organisasi pemerintah Prancis.

Menurut ANSSI, para penyerang menargetkan sistem Centreon yang terhubung ke internet. Namun belum dapat dipastikan apakah serangan tersebut mengeksploitasi kerentanan dalam software Centreon atau justru penyerang menebak kata sandi untuk akun admin.

Namun, dalam kasus intrusi yang berhasil ini, penyerang diketahui memasang versi P.A.S. shell web dan trojan pintu belakang Exaramel, dua jenis malware yang bila digunakan bersama-sama memungkinkan peretas memiliki kendali penuh atas sistem yang disusupi dan jaringan yang berdekatan.

Berkaitan dengan serangan ini, ANSSI sekarang memperingatkan dan mendesak organisasi Prancis dan internasional untuk memeriksa instalasi Centreon mereka untuk mencari ada atau tidaknya dua P.A.S. dan strain malware Exaramel, sebagai tanda bahwa perusahaan telah dibobol oleh serangan Sandworm di tahun-tahun sebelumnya.

Pada Oktober 2020, Departemen Kehakiman AS secara resmi mendakwa enam perwira militer Rusia atas partisipasi mereka dalam serangan dunia maya yang diatur oleh kelompok ini, menyebut APT Sandworm ke Unit 74455 terhubung ke  Direktorat Intelijen Utama Rusia (GRU), bagian dari badan intelijen militer. dari Tentara Rusia.

Serangan dunia maya yang sebelumnya dilakukan oleh kelompok ini termasuk jatuhnya jaringan energi di seluruh Ukraina pada 2015 dan 2016, wabah ransomware NotPetya pada 2017, serangan terhadap upacara pembukaan Olimpiade Musim Dingin PyeongChang pada 2018, dan perusakan massal situs web Georgia pada 2019. Selain itu, DOJ juga mengaitkan grup ini dengan serangan terhadap Prancis, yaitu kampanye spearphishing dan upaya peretasan dan kebocoran terkait yang menargetkan "La République En Marche!", partainya Presiden Prancis Macron. 

Menurut Security Week, ANSSI juga menerbitkan serangkaian rekomendasi bagi organisasi untuk meningkatkan standar bagi Sandworm dan kelompok APT lainnya. Ini termasuk manajemen patch (penambalan celah keamanan) yang lebih baik, penguatan server, dan pembatasan eksposur sistem pemantauan. Hal tersebut harus dilakukan karena sistem pemantauan seperti Centreon sangat terkait dengan sistem informasi yang dipantau dan menjadi target utama untuk kumpulan intrusi yang mencari lateralisasi.

“Direkomendasikan untuk tidak mengekspos antarmuka web alat ini ke internet atau membatasi akses tersebut menggunakan otentikasi non-aplikatif (sertifikat klien TLS, otentikasi dasar di server web).”

Hingga saat ini Centreon belum memberikan keterangan apapun terkait dengan serangan ini. []

Editor: Yuswardi A. Suud