Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

W wyniku ataku na francuską stację TV5 Monde wstrzymano nadawanie 11 kanałów telewizyjnych - wspominaliśmy o tym w jednym z przeglądów wydarzeń dot. e-bezpieczeństwa. Bezprecedensowy atak komentuje Guillaume Lovet, dyrektor FortiGuard Labs, ośrodka wykrywającego nowe rodzaje szkodników.

Istnieją dwie hipotezy: pierwsza z nich zakłada, że stacja omyłkowo sama pokazała hasła do swoich kont w serwisach społecznościowych. Internauci komentujący atak na różnych forach przesyłali dowody nagrań, w których hasła zapisane na kartkach i przyklejone na ścianie w newsroomie pojawiały się w tle wypowiadających się do kamery dziennikarzy. Nie jesteśmy jednak pewni, czy te hasła były aktualne.

Druga hipoteza jest inna i zakłada planowane, celowe ataki w wybrane przez cyberkalifat cele przy wykorzystaniu socjotechniki. W styczniu byliśmy świadkami ataku na francuską gazetę „Le Monde”, a także na media amerykańskie. Modus operandi cyberdżihadystów jest zawsze takie samo: utworzyć wyłom w murze zabezpieczeń za pomocą wiadomości e-mail ze szkodliwym załącznikiem. Takie wiadomości rozsyłane są jako przynęta. Hakerzy następnie czekają, aż ktoś połknie haczyk. Otwarty załącznik (który może być mniej lub bardziej zakamuflowanym plikiem wykonywalnym, ale też plikiem PDF lub DOC) po kryjomu instaluje trojana na komputerze ofiary.

Jest to bardzo powszechny sposób przeprowadzania ataku, chociaż z technicznego punktu widzenia nie jest specjalnie wyrafinowany. Odpowiedni zestaw narzędzi (załącznik, trojan i serwer do zdalnej kontroli trojana) może znaleźć w internecie praktycznie każdy. Oczywiście poszczególne zestawy różnią się między sobą jakością i cenami (od bezpłatnych po kosztujące ponad tysiąc dolarów, ale za to objętych wsparciem twórcy).

Sukces tego sposobu leży w wyrafinowanej socjotechnice, za pomocą której ofiara ataku otwiera załącznik, nie podejrzewając podstępu. Jeśli wiemy, do kogo wysłać wiadomość z wirusem, i potrafimy to zrobić bez wzbudzania podejrzeń, sprawa jest całkiem prosta.

Jak to możliwe, że wstrzymano nadawanie sygnału telewizyjnego?

Przyznaję, że coś takiego nie miało nigdy dotąd miejsca. Nie jest też do końca prawdą, że TV5 straciło kontrolę nad swoim sygnałem: owszem, programy zostały przerwane, ale zdaje się, że hakerzy nie zdołali przejąć pełnej kontroli nad ich emisją.

Jest całkiem możliwe, że kilkugodzinna przerwa w nadawaniu była skutkiem ubocznym działania robaka wprowadzonego przez hakerów do sieci TV5, ale nie była jednym z pierwotnie zakładanych celów ataku. Jeśli przyjrzeć się działaniom cyberdżihadystów w innych krajach świata, można się domyślać, że pierwotnym zamiarem hakerów było pozyskanie identyfikatorów kont twitterowych i facebookowych stacji. W ten sposób, po uzyskaniu dostępu do tych kont, mogli narobić szkód. Ale czy przejęcie kontroli nad emisją programów było częścią ich planu? Poddawanie tego w wątpliwość nie uznaję za irracjonalne.

Powiedzmy, że wirus komputerowy ma pewne namacalne skutki „uboczne”. Nie byłoby to absolutnie nic nowego. W roku 2013 atak DarkSeoul na koreańskie banki sparaliżował działanie części bankomatów. W roku 2009 robak o nazwie Conficker sparaliżował wiele systemów i na przykład francuskie myśliwce nie mogły startować, ponieważ nie były w stanie wczytać planu lotu. Szpitale musiały odsyłać pacjentów do innych placówek. Przykłady można mnożyć.

Czy hakerzy musieli przygotować swój atak pod względem technicznym z wyprzedzeniem, czy też mogli przeprowadzić całą akcję bez większych przygotowań?

Jeśli ich głównym celem było zdobycie identyfikatorów kont twitterowych i facebookowych, to nie wymagało zbyt czasochłonnych przygotowań. Mógł tego dokonać nawet jeden haker.

Jak już wspomniałem wcześniej, jeśli wiemy, do kogo wysłać wiadomość z wirusem, i potrafimy to zrobić bez wzbudzania podejrzeń, sprawa jest całkiem prosta. Oczywiście sam proces urobienia ofiary (jeśli została zaprzężona w tym przypadku) może trochę potrwać.

Jakie są profile osobowe cyberdżihadystów? Czy należą do jakiejś wydzielonej specjalnej jednostki?

Jest to bardzo mało prawdopodobne. Wydzielona specjalna jednostka utworzona przez jakieś państwo, w rodzaju takiej jak ta, która stworzyła i wykorzystywała Stuxnet, byłaby zapewne w stanie przejąć kontrolę nad transmisją po dostaniu się do sieci i nie poprzestałaby na zaatakowaniu strony internetowej i konta na Twitterze.

Czy mamy się obawiać kolejnych tego rodzaju ataków na stacje telewizyjne?

Ataków wymierzonych w konta na Twitterze i Facebooku powinni się spodziewać wszyscy, którzy aktywnie działają w sieciach społecznościowych. Dżihadyści zaatakowali nawet konto twitterowe Katy Perry. Jeśli chodzi zaś o przejęcie kontroli nad sygnałem, tak jak w filmie „V jak Vendetta”, to wydaje się, że przyjdzie nam zaczekać na to jeszcze trochę, aż jakieś państwo zdecyduje się przeznaczyć na to swoje środki. Przy czym takie państwo musiałoby jednocześnie zaakceptować ryzyko nieuchronnych działań odwetowych, zarówno gospodarczych, jak i militarnych.

Jakie środki zapobiegawcze powinny zastosować stacje telewizyjne, aby zapewnić sobie ochronę przed tego rodzaju atakami?

Guillaume Lovet, FortinetJeśli wierzyć informacjom podawanym na stronie breaking3zero.com, trojan wykorzystywał skrypt napisany w języku VBS. Pozyskaliśmy już kilka skryptów wyglądających na bardzo podobne do wykorzystanego w ataku w celu zbadania ich w naszym laboratorium FortiGuardLabs. Te wirusy w ogóle nie zadziałają na systemach Windows 7 i nowszych. Ostatnim systemem operacyjnym, w którym wirus jest w stanie cokolwiek zrobić, jest Windows XP. Wielce prawdopodobne jest, że sieci TV5 wciąż wykorzystywany jest ten system, obecnie chyba najbardziej dziurawy na świecie pod względem zabezpieczeń.

Następnie trzeba koniecznie podzielić sieć na części, tak aby zainfekowanie wirusem komputerów w dziale księgowości nie rozprzestrzeniło się na systemy służące do montażu programów (do których przecież księgowi nie mają dostępu) i nie siało wszędzie paniki.

Guillaume Lovet
ekspert ds. bezpieczeństwa sieci,
kierownik europejskiego laboratorium
FortiGuard Labs firmy Fortinet


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *