Atacul cibernetic de la TV5 Monde, explicat de specialistii Fortinet
calendar_month 10 Apr 2015, 14:45
Postul de televiziune francez TV5 Monde a pierdut controlul conturilor de social media ai al website-ului, ieri, timp de aproximativ 12 ore, ca urmare a unui atac cibernetic in spatele caruia se pare ca s-ar afla gruparea terorista Statul Islamic. Expertii Fortinet au analizat atacul si au publicat, astazi, cateva explicatii legate de tehnicile folosite de catre infractori, dar si o lista cu recomandari pentru evitarea repetarii unor situatii similare.
(foto: Yahoo)
Aveti in continuare analiza Fortinet:
Care au fost efectele acestui atac cibernetic?
Este dificil de estimat ce efecte a avut atacul cibernetic, fara a avea acces la elementele investigatiei. insa o ipoteza este foarte probabila: dupa atacul asupra ziarului francez Le Monde din ianuarie, dar si dupa exemplele din presa americana, modul de operare este acelasi de fiecare data – crearea unui "punct de acces" prin trimiterea unui email cu un atasament virusat catre o persoana vizata din trustul respectiv.
Atasamentul (care putea foarte bine sa fie deghizat sub forma unui document de tipul .pdf sau .doc) odata deschis instaleaza un virus troian in calculatorul victimei. Din acest punct, bresa este deschisa si hackerii pot intra in retea. Aceasta este o practica foarte des intalnita si nu foarte sofisticata din punct de vedere tehnic – pe internet se gasesc kituri pentru astfel de atacuri (atasament + troian + server pentru controlul de la distanta) si aproape oricine poate face asta. Bineinteles, calitatea kitului si preturile pot varia (de la gratuit pana la peste 1.000 de dolari, cu suport tehnic inclus).
Succesul acestei abordari sta in complexitatea "componentei sociale", a modului in care cel vizat este convins sa deschida atasamentul fara a ridica semne de intrebare. Aceasta tehnica este des intalnita si in cazul atacurilor ATP, celelalte parti ale atacului reprezentand partea avansata, nu aceasta prima bresa. Ca o concluzie – daca stii cui sa-i trimiti un email, fara a ridica suspiciuni, restul este destul de usor.
Cum a fost posibil sa fie oprita transmisiunea TV? Cum s-a intamplat?
Acest lucru nu s-a intamplat in cazul TV5, la acest moment se pare ca hackerii nu au preluat controlul asupra difuzarii.
Este foarte posibil ca intreruperea programelor pentru cateva ore sa fie efectul secundar cauzat de un virus introdus de hackeri in reteaua TV5, fara ca aceasta sa fie intentia lor initiala. Daca ne uitam la atacurile cibernetice care se intampla in acest moment la nivel mondial, putem spune ca intentia hackerilor a fost probabil aceea de a fura ID-urile de Twitter si Facebook ale celor de la TV5. Apoi, dupa ce ID-urile au fost obtinute, este posibil ca ei sa fi avut posibilitatea de a cauza si alte probleme. Dar preluarea controlului difuzarilor a fost parte din planul lor? Nu este o chestiune ce ar trebui sa iasa din discutie.
Un virus are repercusiuni materiale "colaterale", ceea ce nu este deloc ceva nou: in 2013, atacul "DarkSeoul" asupra bancilor coreene a paralizat cateva ATM-uri. In 2009, virusul numit Conficker a paralizat anumite sisteme, iar nava de lupta franceza nu a putut decola pentru ca nu putea fi uploadat planul de zbor. Spitalele au trebuit sa redirectioneze pacientii catre alte unitati.
TV5 trebuia sa se pregateasca din punct de vedere tehnic inainte de atac? Sau solutiile reactive puteau fi implementate rapid?
Daca intentia era puna mana pe ID-urile de Twitter si Facebook, acest lucru se putea face relativ rapid si de catre un singur hacker. Asa cum am spus: daca stii cui sa-i trimiti un email, fara a ridica semne de intrebare, restul este destul de simplu.
Care este profilul acestor atacuri? Sunt parte a unei unitati dedicate?
Este foarte putin probabil. O "unitate speciala", creata de un stat, in genul celei create si utilizate de Stuxnet, ar putea prelua controlul difuzarii odata ce s-a infiltrat in retea in loc sa atace website-ul si conturilor de Twitter.
Exista suspiciuni ale unor alte astfel de atacuri asupra posturilor TV?
Pentru toate canale media (si nu numai: contul lui Katy Perry a fost atacat, de exemplu) care sunt prezente pe retelele sociale, ne putem astepta la tentative de atac asupra conturilor de Twitter si Facebook. In ceea ce priveste preluarea controlului asupra unei televiziuni, ca in filmul "V for Vendetta", se pare ca mai avem putin de asteptat pana cand un stat va aloca resurse pentru a preveni astfel de situatii.
Ce masuri ar trebui sa implementeze posturile de telviziune pentru a fi securizate?
Daca ar fi sa credem site-ul breaking3zero.com, virusul troian era un VBS script. Am recuperat unii virusi foarte similari pentru a-i analiza in laboratoarele noastre antivirus FortiGuard Labs si acestia nici macar nu functioneaza pe Windows 7 (sau alte sisteme de operare mai recente); pentru astfel de virusi trebuie sa ne intoarcem la Windows XP. Daca se descopera ca reteaua TV5 utiliza inca Windows XP, probabil cel mai vulnerabil sistem de operare din lume, exista o problema.
Primul pas care ar trebui facut este de a se asigura ca toate programele de operare ale calculatoarelor sunt updatate si protejate de sisteme de securitate adecvate. Apoi, este absolut necesar ca reteaua sa fie segmentata astfel incat o bresa in stadiu primar sa nu se raspandeasca catre sistemul de editare video.
Astfel de atacuri, din ce in ce mai sofisticate si mai targetate, devin o practica frecventa care are repercusiuni grave asupra sistemelor si a datelor. De aceea, o abordare strategica corecta si educarea factorului uman devin foarte importante pentru toate companiile ce sunt prezente in mediu online si opereaza cu date.
Noutati