Cette société propose une plateforme de supervision informatique utilisée par de grands groupes : BNP, EDF, Gaumont, ministère de la Justice, Orange, RATP, SoftBank, Thales, Total… Autant dire que cela en fait une cible de choix pour des pirates.
L’ANSSI a été informée « d’une campagne de compromission touchant plusieurs entités françaises. Cette campagne ciblait le logiciel de supervision Centreon, édité par la société du même nom ». Les premières remontent à fin 2017, avec une activité jusqu’en 2020. Ces attaques ont « principalement touché des prestataires de services informatiques, notamment d’hébergement web ».
L’Agence a « constaté sur les systèmes compromis l’existence d’une porte dérobée de type webshell, déposée sur plusieurs serveurs Centreon exposés sur internet. Cette porte dérobée a été identifiée comme étant le webshell P.A.S. dans sa version 3.1.4. Sur ces mêmes systèmes, l’ANSSI a identifié la présence d’une autre porte dérobée nommée Exaramel par l’éditeur ESET ».
Toujours selon l’ANSSI, « cette campagne présente de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm ». Un rapport détaillé d’une quarantaine de pages donne des informations techniques.