El pasado mes de diciembre se descubrió el ataque a la empresa SolarWinds que ha sido catalogado como el más sofisticado y complejo de la historia. Numerosos organismos oficiales norteamericanos como el Pentágono o el Departamento del Tesoro, así como varias multinacionales se han visto comprometidas por este ataque.
Los llamativo de ese ataque ha sido su sofisticación pues aprovecharon la cadena de suministro de software de la empresa para introducir el malware en una de las actualizaciones. Pasaron meses hasta que se descubrió el malware y a día de hoy ya se han descubierto cuatro cepas diferentes del virus.
Ahora ha sido la Agencia Nacional de Ciberseguridad de Francia la que ha informado de un ciberataque de similares características y que nuevamente, y al igual que el ciberataque a SolarWinds, apunta a Rusia como brazo ejecutor. En este caso, se han atacado los servidores que ejecutan la herramienta Centreo y que sirve para monitorizar aplicaciones, sistemas y redes. El ataque lleva produciéndose desde hace tres años, pero ha sido ahora cuando se han dado cuenta del mismo.
Al igual que en el caso de SolarWinds todo apunta a Rusia como brazo ejecutor
Una vez que el malware logró acceder a los servidores que ejecutan el sistema operativo de Centreo, el malware se propaga a través de las redes de las empresas que lo utilizan. Entre otros, este malware utiliza cifrado para dificultar el análisis y aplicar un control de acceso cuando se implementa en un host comprometido. Además, es capaz de enumerar archivos, interactuar con ellos, crear y cargar nuevos archivos y permite a los ciberdelincuentes realizar búsquedas específicas. Otro aspecto importante es que es capaz de interactuar con bases de datos SQL.
Al igual que ocurre con otros ciberataques que tienen el marchamo de «Made in Russia» los afectados van desde organismos oficiales como el Ayuntamiento de Burdeos o el Ministerio de Justicia galo así como empresas multinacionales francesas.