Atak na francuską telewizję TV5

W środę wieczorem nastąpił zmasowany atak na systemy teleinformatyczne francuskiej telewizji TV5Monde transmitującej swoje programy za pośrednictwem 11 kanałów na terenie 200 krajów. Sympatycy Państwa Islamskiego (ISIS) przejęli kontrolę nie tylko nad stroną internetową telewizji, ale także nad jej kontem na Facebooku i ?telewizyjną anteną.

Wszystko przepadło?

Oświadczenie wydane przez dyrektora stacji TV5Monde, Yvesa Bigota, brzmiało dość tragicznie:

?Nie jesteśmy w stanie nadawać swoich programów na żadnym z naszych 11 kanałów. Nasza strona internetowa i konta w sieciach społecznościowych nie sa przez nas kontrolowane. Wszystko to z winy ISIS?

Na Facebooku TV5Monde pojawiły się pogróżki i zdjęcia dowodów osobistych osób bliskich dla francuskich żołnierzy, którzy biorą udział w anty ISIS-owych operacjach. Dodatkowo, atakujący podmienili zdjęcie profilowe, wyświetlając napis JE SUIS ISIS oraz ?Cyber Caliphate?.

http://niebezpiecznik.pl/wp-content/uploads/2015/04/5944501.jpg

 

Atakujący z ISIS nie byli jednak w stanie podmienić transmitowanych programów na własne materiały video ? jedyne co osiągnęli, przejmując kontrolę nad anteną stacji, to wygaszenie transmisji na wszystkich 11 kanałach telewizji TV5Monde.

Obecnie na stronie stacji widoczny jest komunikat ?trwa naprawa?, a szef stacji twierdzi, że programy nie wrócą na antenę do godziny 14:00. Stacja najszybciej uporała się z przejętymi kontami na Facebooku ? już o 2 nad ranem odzyskała nad nimi kontrolę.

Jak doszło do ataku?

Tego na chwilę obecną nie ujawniono. Możemy więc jedynie spekulować. Bazując jednak na poprzednich atakach ISIS w grę najprawdopodobniej wchodzi stary, ale jary i niezwykle skuteczny spear phishing najprawdopodobniej podszyty także złośliwym oprogramowaniem.

Zapewne znów, poprzez fałszywy e-mail skierowany do jednego z pracowników stacji, którego dane można było znaleźć w internecie (albo na stronie kontaktowej stacji, albo w serwisach społecznościowych, albo na LinkedIn) atakujący uzyskali albo dane dostępowe do któregoś z wewnętrznych systemów (np. skrzynki pocztowej lub telewizyjnego CMS-a) albo byli w stanie zainfekować komputer pracownika złośliwym oprogramowaniem (co oznacza, że przy pomocy np. keyloggera zdobyli hasła pracownika).

Mając kontrolę nad skrzynką e-mail, atak zapewne postępował w głąb organizacji i przejmowane były kolejne konta. Każde z nich było zapewne przeszukiwane pod kątem interesujących dokumentów, w tym e-maili sugerujących powiązanie konta z serwisami społecznościowymi lub kontem w CMS obsługującym stronę internetową telewizji. Po zidentyfikowaniu pracownika, który miał uprawnienia do dodawania treści na oficjalnym fanpage?u stacji na Facebooku atakujący zapewne rozpoczęli procedurę przypominania hasła i w ten sposób przejęli kontrolę nad stroną na Facebooku.

Z przejęciem anteny im jednak nie wyszło?

Najciekawsza w tym wszystkim wydaje się blokada możliwości transmisji programów. To sugeruje, że atakujący pozyskali dostęp do sieci wewnętrznej stacji (a to oznacza, że oprócz samego phishingu w grze najprawdopodobniej udział brało złośliwe oprogramowanie). Brakuje nam niestety wiedzy w zakresie tego jak zbudowana była sieć dystrybucji programów w stacji TV5Monde, ale brak podmiany treści na własne przez ISIS sugeruje, że najprawdopodobniej atakujący wykonali atak polegający na skasowaniu zawartości systemów odpowiedzialnych za transmisję (przechowywanie?) materiałów.

Destrukcja systemów komputerowych jest możliwa na wiele sposobów, od celowego uszkodzenia systemu operacyjnego, po skasowanie kluczowego oprogramowania bądź odpowiednich powiązań pomiędzy systemami wykorzystywanymi do wysyłki sygnału do przekaźników. Wypowiedź jednej z pracowniczek stacji, dotycząca ?crashu? systemów zdaje się potwierdzać tą hipotezę. Dodatkowym argumentem przemawiającym za trwałym unieruchomieniem komputerów stacji jest brak możliwości produkcji nowych materiałów. W tym miejscu jak najbardziej zasadne są porównania do Sony Pictures ? w pewnej chwili pracownicy firmy zauważyli propagandowy komunikat na swoich komputerach i dalsza praca nie była możliwa (por. Sony Pictures totalnie zhackowane).

Ale nawet zakładając użycie trojana, atakujących z ISIS należy określić jako słabych technicznie zwłaszcza jeśli ich działania porównamy do działań grupy pasjonatów z Uniwersytetu Mikołaja Kopernika, którzy w dn. 14 września 1985 roku przy pomocy ZX Spectrum wstrzyknęli (!) swój komunikat w transmisję Dziennika Telewizyjnego.

 Deface telewizora przez Solidarność 

Deface telewizora przez Solidarność

Nie należy jednak wszystkich Arabów wrzucać do jednego worka. Jeśli bowiem przypomnimy działania Hamasu, to znajdziemy potwierdzenie na to, że i dziś da się skutecznie przejmować sygnał stacji telewizyjnej i zastępować go własnym.

Co do włamania na stronę internetową TV5Monde ? tu komentarz jest zbędny. Ani to pierwszy atak tego typu ani zaawansowany. Z reguły winny jest nieaktualny CMS, błąd w webaplikacji albo wyciek danych dostępowych do konta ?redaktora? na skutek phishingu.

I właśnie z tego powodu, każdy pracownik każdej instytucji, o ile ma dostęp do komputera, powinien zapoznać się z artykułem dot. socjotechniki i metod ataku za jej pomocą. Tu mamy do czynienia z atakami bazującymi na ludzkiej naiwności, więc nie pomogą żadne systemy ?antywłamaniowe?, a jedynie świadomość odpowiednich zagrożeń i nabyta (wyuczona) ostrożność.

Bardzo jesteśmy ciekawi, jak straty (przerwy w nadawaniu reklam) oszacuje stacja TV5 Monde, oraz czy ujawni szczegóły techniczne ataku. Kto wie, może pojawi się nawet wątek jak z telewizyjnych seriali, i okaże się, że to był inside-job?

 

Źródło : http://niebezpiecznik.pl/