13:11
9/4/2015

W środę wieczorem nastąpił zmasowany atak na systemy teleinformatyczne francuskiej telewizji TV5Monde transmitującej swoje programy za pośrednictwem 11 kanałów na terenie 200 krajów. Sympatycy Państwa Islamskiego (ISIS) przejęli kontrolę nie tylko nad stroną internetową telewizji, ale także nad jej kontem na Facebooku i …telewizyjną anteną.

Wszystko przepadło?

Oświadczenie wydane przez dyrektora stacji TV5Monde, Yvesa Bigota, brzmiało dość tragicznie:

“Nie jesteśmy w stanie nadawać swoich programów na żadnym z naszych 11 kanałów. Nasza strona internetowa i konta w sieciach społecznościowych nie sa przez nas kontrolowane. Wszystko to z winy ISIS”

Na Facebooku TV5Monde pojawiły się pogróżki i zdjęcia dowodów osobistych osób bliskich dla francuskich żołnierzy, którzy biorą udział w anty ISIS-owych operacjach. Dodatkowo, atakujący podmienili zdjęcie profilowe, wyświetlając napis JE SUIS ISIS oraz “Cyber Caliphate“.

Podmieniony fanpage TV5Monde

Podmieniony fanpage TV5Monde

Atakujący z ISIS nie byli jednak w stanie podmienić transmitowanych programów na własne materiały video — jedyne co osiągnęli, przejmując kontrolę nad anteną stacji, to wygaszenie transmisji na wszystkich 11 kanałach telewizji TV5Monde.

Obecnie na stronie stacji widoczny jest komunikat “trwa naprawa”, a szef stacji twierdzi, że programy nie wrócą na antenę do godziny 14:00. Stacja najszybciej uporała się z przejętymi kontami na Facebooku — już o 2 nad ranem odzyskała nad nimi kontrolę.

Jak doszło do ataku?

Tego na chwilę obecną nie ujawniono. Możemy więc jedynie spekulować. Bazując jednak na poprzednich atakach ISIS w grę najprawdopodobniej wchodzi stary, ale jary i niezwykle skuteczny spear phishing najprawdopodobniej podszyty także złośliwym oprogramowaniem.

Zapewne znów, poprzez fałszywy e-mail skierowany do jednego z pracowników stacji, którego dane można było znaleźć w internecie (albo na stronie kontaktowej stacji, albo w serwisach społecznościowych, albo na LinkedIn) atakujący uzyskali albo dane dostępowe do któregoś z wewnętrznych systemów (np. skrzynki pocztowej lub telewizyjnego CMS-a) albo byli w stanie zainfekować komputer pracownika złośliwym oprogramowaniem (co oznacza, że przy pomocy np. keyloggera zdobyli hasła pracownika).

Mając kontrolę nad skrzynką e-mail, atak zapewne postępował w głąb organizacji i przejmowane były kolejne konta. Każde z nich było zapewne przeszukiwane pod kątem interesujących dokumentów, w tym e-maili sugerujących powiązanie konta z serwisami społecznościowymi lub kontem w CMS obsługującym stronę internetową telewizji. Po zidentyfikowaniu pracownika, który miał uprawnienia do dodawania treści na oficjalnym fanpage’u stacji na Facebooku atakujący zapewne rozpoczęli procedurę przypominania hasła i w ten sposób przejęli kontrolę nad stroną na Facebooku.

Z przejęciem anteny im jednak nie wyszło…

Najciekawsza w tym wszystkim wydaje się blokada możliwości transmisji programów. To sugeruje, że atakujący pozyskali dostęp do sieci wewnętrznej stacji (a to oznacza, że oprócz samego phishingu w grze najprawdopodobniej udział brało złośliwe oprogramowanie). Brakuje nam niestety wiedzy w zakresie tego jak zbudowana była sieć dystrybucji programów w stacji TV5Monde, ale brak podmiany treści na własne przez ISIS sugeruje, że najprawdopodobniej atakujący wykonali atak polegający na skasowaniu zawartości systemów odpowiedzialnych za transmisję (przechowywanie?) materiałów.

Destrukcja systemów komputerowych jest możliwa na wiele sposobów, od celowego uszkodzenia systemu operacyjnego, po skasowanie kluczowego oprogramowania bądź odpowiednich powiązań pomiędzy systemami wykorzystywanymi do wysyłki sygnału do przekaźników. Wypowiedź jednej z pracowniczek stacji, dotycząca “crashu” systemów zdaje się potwierdzać tą hipotezę. Dodatkowym argumentem przemawiającym za trwałym unieruchomieniem komputerów stacji jest brak możliwości produkcji nowych materiałów. W tym miejscu jak najbardziej zasadne są porównania do Sony Pictures — w pewnej chwili pracownicy firmy zauważyli propagandowy komunikat na swoich komputerach i dalsza praca nie była możliwa (por. Sony Pictures totalnie zhackowane).

Ale nawet zakładając użycie trojana, atakujących z ISIS należy określić jako słabych technicznie zwłaszcza jeśli ich działania porównamy do działań grupy pasjonatów z Uniwersytetu Mikołaja Kopernika, którzy w dn. 14 września 1985 roku przy pomocy ZX Spectrum wstrzyknęli (!) swój komunikat w transmisję Dziennika Telewizyjnego.

Deface telewizora przez Solidarność

Deface telewizora przez Solidarność

Nie należy jednak wszystkich Arabów wrzucać do jednego worka. Jeśli bowiem przypomnimy działania Hamasu, to znajdziemy potwierdzenie na to, że i dziś da się skutecznie przejmować sygnał stacji telewizyjnej i zastępować go własnym.

Co do włamania na stronę internetową TV5Monde — tu komentarz jest zbędny. Ani to pierwszy atak tego typu (por. Prorosyjska telewizja RT zhackowana oraz Al-Jazeera zhackowana) ani zaawansowany. Z reguły winny jest nieaktualny CMS, błąd w webaplikacji albo wyciek danych dostępowych do konta “redaktora” na skutek phishingu.

I właśnie z tego powodu, każdy pracownik każdej instytucji, o ile ma dostęp do komputera, powinien zapoznać się z artykułem dot. socjotechniki i metod ataku za jej pomocą. Tu mamy do czynienia z atakami bazującymi na ludzkiej naiwności, więc nie pomogą żadne systemy “antywłamaniowe”, a jedynie świadomość odpowiednich zagrożeń i nabyta (wyuczona) ostrożność.

Bardzo jesteśmy ciekawi, jak straty (przerwy w nadawaniu reklam) oszacuje stacja TV5 Monde, oraz czy ujawni szczegóły techniczne ataku. Kto wie, może pojawi się nawet wątek jak z telewizyjnych seriali, i okaże się, że to był inside-job?

PS. Czytelnik Adam zauważa, że być może w ogóle nie trzeba było nic hackować, a jedynie nacisnąć pauzę na streamingu:
10644534_820038641418386_6732303745502967980_o

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

11 komentarzy

Dodaj komentarz
  1. zapomniales o akcji goscia ktory przejal sygnal satelitarny hbo – Captain Midnight

  2. Albo gość, który się przebrał za Maxa Headrooma

    • Albo hacka z kosmosu (Vrillon, 1977, Wielka Brytania).

  3. też mogę wyłączyć serwery swojej firmie, wkleić jakiś gif na główną i zwalić wsjo na ruskich, duchy czy indian…

  4. ISIS nie istnieje od dłuższego czasu

    • Błąd jesteśmy już w Polsce i szykujemy się do następnego ataku, jeden z celów to pałac kultury jako symbol zgniłego zachodu !!
      Miejcie się na baczności.
      To komuniktat mojego klienta

  5. Nic niezwyklego, wiekszosc studiow juz dawno przeszla na headendy z cyfrowa (IP based) dystrybucja np http://www.cisco.com/c/en/us/products/video/multiplexers/index.html
    Wystarczy przejac kontrole(banalnie prosto) by moc w calosci opanowac to do dosylane jest do satelity.

  6. jak się przyjrzeć zrzutom ekranu z dziennika TV5 Monde – https://fbcdn-sphotos-a-a.akamaihd.net/hphotos-ak-xpf1/t31.0-8/10644534_820038641418386_6732303745502967980_o.png – to widać, że nie potrzeba specjalnego wysiłku, by znać hasła.

  7. […] informowaliśmy o ciekawym ataku, który swoim zakresem objął 11 kanałów francuskiej telewizji TV5 Monde nadawanej na terenie 200 krajów. Atakujący przejęli nie tylko kontrolę nad anteną stacji, ale […]

  8. Skądinąd jestem ciekaw, czy popularność protokołu routingowego IS-IS nie uległa zmianie w ciągu minionego roku…

  9. 1987 Chicago http://motherboard.vice.com/read/headroom-hacker

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: