Guillaume Lovet, expert în atacuri cibernetice în cadrul FORTINET, vorbește despre atacul cibernetic de la TV5 Monde și de modul în care ar fi putut fi prevenit
În cadrul zilei de ieri, postul de televiziune francez TV5 Monde a pierdut controlul conturilor de social media și al website-ului ca urmare a unui atac cibernetic. Guillaume Lovet, expert cybercrime în cadrul FORTINET, explică cum a fost posibil un astfel de atac și ce măsuri trebuiau luate pentru a-l preveni.
Care au fost efectele acestui atac cibernetic?
Este dificil de estimat ce efecte a avut atacul cibernetic, fără a avea acces la elementele investigației. Însă o ipoteză este foarte probabilă: după atacul asupra ziarului francez Le Monde din ianuarie, dar și după exemplele din presa americană, modul de operare este același de fiecare dată – crearea unui ”punct de acces” prin trimiterea unui email cu un atașament virusat către o persoană vizată din trustul respectiv.
Atașamentul (care putea foarte bine să fie deghizat sub forma unui document de tipul .pdf sau .doc) odată deschis instalează un virus troian în calculatorul victimei. Din acest punct, breșa este deschisă și hackerii pot intra în rețea. Aceasta este o practică foarte des întâlnită și nu foarte sofisticată din punct de vedere tehnic – pe internet se găsesc kituri pentru astfel de atacuri (atașament + troian + server pentru controlul de la distanță) și aproape oricine poate face asta. Bineînțeles, calitatea kitului și prețurile pot varia (de la gratuit până la peste 1.000 de dolari, cu suport tehnic inclus).
Succesul acestei abordări stă în complexitatea ”componentei sociale”, a modului în care cel vizat este convins să deschidă atașamentul fără a ridica semne de întrebare. Această tehnică este des întâlnită și în cazul atacurilor ATP, celelalte părți ale atacului reprezentând partea avansată, nu această primă breșă. Ca o concluzie – dacă știi cui să-i trimiți un email, fără a ridica suspiciuni, restul este destul de ușor.
Cum a fost posibil să fie oprită transmisiunea TV? Cum s-a întâmplat?
Acest lucru nu s-a întâmplat în cazul TV5, la acest moment se pare că hackerii nu au preluat controlul asupra difuzării.
Este foarte posibil ca întreruperea programelor pentru câteva ore să fie efectul secundar cauzat de un virus introdus de hackeri în rețeaua TV5, făra ca aceasta să fie intenția lor inițială. Dacă ne uităm la atacurile cibernetice care se întâmplă în acest moment la nivel mondial, putem spune că intenția hackerilor a fost probabil aceea de a fura ID-urile de Twitter și Facebook ale celor de la TV5. Apoi, după ce ID-urile au fost obținute, este posibil ca ei să fi avut posibilitatea de a cauza și alte probleme. Dar preluarea controlului difuzărilor a fost parte din planul lor? Nu este o chestiune ce ar trebui să iasă din discuție.
Un virus are repercursiuni materiale ”colaterale”, ceea ce nu este deloc ceva nou: în 2013, atacul ”DarkSeoul” asupra băncilor coreene a paralizat câteva ATM-uri. În 2009, virusul numit Conficker a paralizat anumite sisteme, iar nava de luptă franceză nu a putut decola pentru că nu putea fi uploadat planul de zbor. Spitalele au trebuit să redirecționeze pacienții către alte unități.
TV5 trebuia să se pregătească din punct de vedere tehnic înainte de atac ? Sau soluțiile reactive puteau fi implementate rapid?
Dacă intenția era pună mâna pe ID-urile de Twitter și Facebook, acest lucru se putea face relativ rapid și de către un singur hacker. Așa cum am spus : dacă știi cui să-i trimiți un email, fără a ridica semne de întrebare, restul este destul de simplu.
Care este profilul acestor atacuri? Sunt parte a unei unități dedicate?
Este foarte puțin probabil. O ”unitate specială”, creată de un stat, în genul celei create și utilizate de Stuxnet, ar putea prelua controlul difuzării odată ce s-a infiltrat în rețea în loc să atace website-ul și conturilor de Twitter.
Există suspiciuni ale unor alte astfel de atacuri asupra posturilor TV ?
Pentru toate canale media (și nu numai : contul lui Katy Perry a fost atacat, de exemplu) care sunt prezente pe rețelele sociale, ne putem aștepta la tentative de atac asupra conturilor de Twitter și Facebook. În ceea ce privește preluarea controlului asupra unei televiziuni, ca în filmul ”V for Vendetta”, se pare că mai avem puțin de asteptat până când un stat va aloca resurse pentru a preveni astfel de situații.
Ce măsuri ar trebui să implementeze posturile de telviziune pentru a fi securizate?
Dacă ar fi să credem site-ul breaking3zero.com, virusul troian era un VBS script. Am recuperat unii viruși foarte similari pentru a-i analiza în laboratoarele noastre antivirus FortiGuard Labs și aceștia nici măcar nu funcționează pe Windows 7 (sau alte sisteme de operare mai recente); pentru astfel de viruși trebuie să ne întoarcem la Windows XP. Dacă se descoperă că rețeaua TV5 utiliza încă Windows XP, probabil cel mai vulnerabil sistem de operare din lume, există o problemă.
Primul pas care ar trebui făcut este de a se asigura că toate programele de operare ale calculatoarelor sunt updatate și protejate de sisteme de securitate adecvate. Apoi, este absolut necesar ca rețeaua să fie segmentată astfel încât o breșă în stadiu primar să nu se răspândească către sistemul de editare video.
Astfel de atacuri, din ce în ce mai sofisticate și mai targetate, devin o practică frecventă care are repercursiuni grave asupra sistemelor și a datelor. De aceea, o abordare strategică corectă și educarea factorului uman devin foarte importante pentru toate companiile ce sunt prezente în mediu online și operează cu date.
Views: 0