这些被称为沙虫(Sandworm)的俄罗斯军事黑客，从乌克兰的停电到历史上最具破坏性的恶意软件“诺比佳”(NotPetya)，无所不有。但一家法国安全机构现在警告说，黑客利用与沙虫有关的工具和技术，通过一种名为centreon的it监控工具，暗中攻击了该国的目标——而且似乎在长达三年的时间里都未被发现。

周一，法国信息安全机构安西(ANSSI)发布了一份警告，称与俄罗斯军事情报机构格鲁(GRU)内部的一个组织“沙虫”(Sandworm)有关联的黑客入侵了几个法国组织。该机构称这些受害者“主要”是IT公司，尤其是网络托管公司。值得注意的是，ANSSI表示，入侵行动可以追溯到2017年底，一直持续到2020年。在这些入侵中，黑客们似乎侵入了运营Centreon的服务器。Centreon是由总部位于巴黎的同名公司销售的。

尽管ANSSI说，它还无法确定这些服务器是如何被黑客入侵的，但它在这些服务器上发现了两个不同的恶意软件:一个是名为PAS的公开后门，另一个是名为Exaramel的后门。斯洛伐克网络安全公司Eset曾发现沙蠕虫在以前的入侵中使用过Exaramel。虽然黑客组织确实重复使用彼此的恶意软件——有时是故意误导调查人员——但法国机构也表示，在Centreon黑客行动中使用的指挥和控制服务器与之前的沙虫黑客事件有重叠。

虽然尚不清楚沙虫的黑客在法国黑客运动中意图是什么，但任何沙虫入侵都会给那些看到过该组织过去工作成果的人敲响警钟。“沙蠕虫与破坏性行动有关，”安全公司DomainTools的研究员乔·斯洛维克(Joe Slowik)说，他多年来一直跟踪沙蠕虫的活动，包括对乌克兰电网的一次攻击，沙蠕虫的Exaramel后门的早期变体出现在那里。“尽管法国当局没有记录到与这次行动有关的最后阶段，沐鸣开户测速但它正在发生的事实令人担忧，因为大多数沙虫行动的最终目标是造成一些明显的破坏性影响。我们应该对此予以关注。”

ANSSI没有透露黑客攻击的受害者身份。但Centreon网站上的一页列出了客户名单，其中包括电信供应商Orange和OptiComm、IT咨询公司CGI、国防和航空公司泰利斯(Thales)、钢铁和矿业公司阿塞洛-米塔尔(ArcelorMittal)、空中客车(Airbus)、法航荷航(Air France KLM)、物流公司德迅(Kuehne + Nagel)、核能公司EDF和法国司法部(French Department of Justice)。

Centreon客户幸免

然而，在周二的一份电子邮件声明中，一名Centreon发言人写道，Centreon的实际客户没有受到黑客攻击的影响。相反，该公司表示，受害者使用的是Centreon软件的开源版本，该公司已经五年多没有支持该软件了，并辩称这些软件部署得不安全，包括允许来自该组织网络之外的连接。声明还指出，ANSSI统计的入侵目标“只有大约15个”。声明还说:“Centreon目前正在联系所有的客户和合作伙伴，以协助他们验证他们的安装是否符合ANSSI的健康信息系统指南。”“Centreon建议所有仍在生产中使用其开源软件过时版本的用户将其更新为最新版本，或联系Centreon及其认证合作伙伴网络。”

网络安全行业的一些人士立即解读了ANSSI的报告，沐鸣开户测速认为这是又一次针对SolarWinds的软件供应链攻击。在去年末曝光的一场大规模黑客攻击行动中，俄罗斯黑客改变了该公司的IT监控应用程序，该应用程序曾侵入数量未知的网络，其中包括至少6家美国联邦机构。

但是ANSSI的报告并没有提到供应链方面的问题，Centreon在声明中写道:“这不是供应链类型的攻击，而且这种类型的攻击无法与其他类型的攻击相提并论。”事实上，DomainTools的斯洛维克表示，入侵似乎只是利用在受害者网络内运行Centreon软件的面向互联网的服务器进行的。他指出，这与美国国家安全局去年5月发布的另一个有关沙蠕虫的警告相一致:情报机构警告沙蠕虫正在入侵运行在Linux服务器上的Exim电子邮件客户端的面向互联网的机器。考虑到Centreon的软件运行在CentOS上(CentOS也是基于linux的)，这两份报告指出了在同一时间段内类似的行为。斯洛维克说:“这两起行动同时进行，在同一段时间内，它们被用来识别面向外部的、易受攻击的服务器，这些服务器碰巧在运行Linux，以便在受害网络内进行初始访问或移动。”(与“沙虫”组织(Sandworm)形成鲜明对比的是，“太阳风”组织的攻击也尚未确定与任何特定的情报机构有关，尽管安全公司和美国情报机构已将黑客行动归咎于俄罗斯政府。“沙虫”组织已被广泛认定为GRU的一部分。)

“做好影响”

虽然沙虫组织的许多最臭名昭著的网络攻击都集中在乌克兰，包括从乌克兰传播的NotPetya蠕虫，它在全球造成了100亿美元的损失，但GRU在过去并没有放弃对法国目标的攻击。2016年，装扮成伊斯兰极端分子的格鲁黑客摧毁了法国TV5电视台的网络，使其12个频道停播。次年，包括沙虫在内的GRU黑客发起了一场电子邮件黑客和泄露行动，意图破坏法国总统候选人埃马纽埃尔·马克龙(Emmanuel Macron)的总统竞选活动。

安全公司火眼(FireEye)的情报副总裁约翰·胡尔特奎斯特(John Hultquist)说，虽然ANSSI报告中描述的黑客活动似乎没有造成这种破坏性影响，但Centreon的入侵应该是一个警告。该公司的研究团队在2014年首次命名了Sandworm。他指出，火眼还没有把入侵归咎于沙虫，而不是ansi，但他也警告说，现在说行动已经结束还为时过早。“这可能是情报收集，但我们必须考虑沙虫的长期活动历史，”胡尔特奎斯特说。“任何时候，只要我们发现沙虫在很长一段时间内有清晰的通道，我们就需要做好应对影响的准备。”