Komentarz Fortineta do ataku na TV5 MONDE

9 kwietnia w wyniku ataku hakerskiego francuska stacja telewizyjna TV5 MONDE przerwała nadawanie swoich programów. Cyber-dżihad przejął kontrolę nad kontami telewizji w popularnych serwisach społecznościowych.

Bezprecedensowy atak komentuje Guillaume Lovet, kierownik europejskiego laboratorium FortiGuard Labs firmy Fortinet, ekspert ds. bezpieczeństwa sieci. Jak cyber-dżihad włamał się do sieci telewizji TV5?

Istnieją dwie hipotezy: pierwsza z nich zakłada, że stacja omyłkowo sama pokazała hasła do swoich kont w serwisach społecznościowych. Internauci komentujący atak na różnych forach przesyłali dowody nagrań, w których hasła zapisane na kartkach i przyklejone na ścianie w newsroomie pojawiały się w tle wypowiadających się do kamery dziennikarzy. Nie jesteśmy jednak pewni, czy te hasła były aktualne.

Druga hipoteza jest inna i zakłada planowane, celowe ataki w wybrane przez cyber-kalifat cele przy wykorzystaniu socjotechniki. W styczniu byliśmy świadkami ataku na francuską gazetę ?Le Monde?, a także na media amerykańskie. Modus operandi cyber-dżihadystów jest zawsze takie samo: utworzyć wyłom w murze zabezpieczeń za pomocą wiadomości e-mail ze szkodliwym załącznikiem. Takie wiadomości rozsyłane są jako przynęta. Hakerzy następnie czekają, aż ktoś połknie haczyk. Otwarty załącznik (który może być mniej lub bardziej zakamuflowanym plikiem wykonywalnym, ale też plikiem PDF lub DOC) po kryjomu instaluje trojana na komputerze ofiary.

Jest to bardzo powszechny sposób przeprowadzania ataku, chociaż z technicznego punktu widzenia nie jest specjalnie wyrafinowany. Odpowiedni zestaw narzędzi (załącznik, trojan i serwer do zdalnej kontroli trojana) może znaleźć w Internecie praktycznie każdy. Oczywiście poszczególne zestawy różnią się między sobą jakością i cenami (od bezpłatnych po kosztujące ponad tysiąc dolarów, ale za to objętych wsparciem twórcy).

Sukces tego sposobu leży w wyrafinowanej socjotechnice, za pomocą której ofiara ataku otwiera załącznik, nie podejrzewając podstępu. Jeśli wiemy do kogo wysłać wiadomość z wirusem i potrafimy to zrobić bez wzbudzania podejrzeń, sprawa jest całkiem prosta.

Jak to możliwe, że wstrzymano nadawanie sygnału telewizyjnego?

Przyznaję, że coś takiego nie miało nigdy dotąd miejsca. Nie jest też do końca prawdą, że TV5 straciło kontrolę nad swoim sygnałem: owszem, programy zostały przerwane, ale zdaje się, że hakerzy nie zdołali przejąć pełnej kontroli nad ich emisją.

Jest całkiem możliwe, że kilkugodzinna przerwa w nadawaniu była skutkiem ubocznym działania robaka wprowadzonego przez hakerów do sieci TV5, ale nie była jednym z pierwotnie zakładanych celów ataku. Jeśli przyjrzeć się działaniom cyber-dżihadystów w innych krajach świata, można się domyślać, że pierwotnym zamiarem hakerów było pozyskanie identyfikatorów kont twitterowych i facebookowych stacji. W ten sposób, po uzyskaniu dostępu do tych kont, mogli narobić szkód. Ale czy przejęcie kontroli nad emisją programów było częścią ich planu? Poddawanie tego w wątpliwość nie uznaję za irracjonalne.

Powiedzmy, że wirus komputerowy ma pewne namacalne skutki ?uboczne?. Nie byłoby to absolutnie nic nowego. W roku 2013 atak ?DarkSeoul? na koreańskie banki sparaliżował działanie części bankomatów. W roku 2009 robak o nazwie Conficker sparaliżował wiele systemów i na przykład francuskie myśliwce nie mogły startować, ponieważ nie były w stanie wczytać planu lotu. Szpitale musiały odsyłać pacjentów do innych placówek.Przykłady można mnożyć.

Czy hakerzy musieli przygotować swój atak pod względem technicznym z wyprzedzeniem, czy też mogli przeprowadzić całą akcję bez większych przygotowań?

Jeśli ich głównym celem było zdobycie identyfikatorów kont twitterowych i facebookowych, to nie wymagało zbyt czasochłonnych przygotowań. Mógł tego dokonać nawet jeden haker.

Jak już wspomniałem wcześniej, jeśli wiemy do kogo wysłać wiadomość z wirusem, i potrafimy to zrobić bez wzbudzania podejrzeń, sprawa jest całkiem prosta. Oczywiście sam proces urobienia ofiary (jeśli została zaprzężona w tym przypadku) może trochę potrwać.

Jakie są profile osobowe cyber-dżihadystów? Czy należą do jakiejś wydzielonej specjalnej jednostki?

Jest to bardzo mało prawdopodobne. Wydzielona specjalna jednostka utworzona przez jakieś państwo, w rodzaju takiej jak ta, która stworzyła i wykorzystywała Stuxnet, byłaby zapewne w stanie przejąć kontrolęnad transmisją po dostaniu się do sieci i nie poprzestałaby na zaatakowaniu strony internetowej i konta na Twitterze.

Czy mamy się obawiać kolejnych tego rodzaju ataków na stacje telewizyjne?

Ataków wymierzonych w konta na Twitterze i Facebooku powinni się spodziewać wszyscy, którzy aktywnie działają w sieciach społecznościowych. Dżihadyści zaatakowali nawet konto twitterowe Katy Perry. Jeśli chodzi zaś o przejęcie kontroli nad sygnałem, tak jak w filmie ?V jak Vendetta?, to wydaje się, że przyjdzie nam zaczekać na to jeszcze trochę, aż jakieś państwo zdecyduje się przeznaczyć na to swoje środki. Przy czym takie państwo musiałoby jednocześnie zaakceptować ryzyko nieuchronnych działań odwetowych, zarówno gospodarczych, jak i militarnych.

Jakie środki zapobiegawcze powinny zastosować stacje telewizyjne, aby zapewnić sobie ochronę przed tego rodzaju atakami?

Jeśli wierzyć informacjom podawanym na stronie breaking3zero.com, trojan wykorzystywał skrypt napisany w języku VBS. Pozyskaliśmy już kilka skryptów wyglądających na bardzo podobne do wykorzystanego w ataku w celu zbadania ich w naszym laboratorium FortiGuardLabs. Te wirusy w ogóle nie zadziałają na systemach Windows 7 i nowszych. Ostatnim systemem operacyjnym, w którym wirus jest w stanie cokolwiek zrobić jest Windows XP. Wielce prawdopodobne jest, że sieci TV5 wciąż wykorzystywany jest ten system, obecnie chyba najbardziej dziurawy na świecie pod względem zabezpieczeń.

Pierwszym krokiem na drodze do lepszego zabezpieczenia sieci jest zatem zagwarantowanie bieżącego aktualizowania systemów i stosowania odpowiednich rozwiązań zabezpieczających.

Następnie trzeba koniecznie podzielić sieć na części, tak aby zainfekowanie wirusem komputerów w dziale księgowości nie rozprzestrzeniło się na systemy służące do montażu programów (do których przecież księgowi nie mają dostępu) i nie siało wszędzie paniki.

 

Źródło : http://osnews.pl/