這事件引起了很大的轟動。大約兩年前,2015年4月8日至9日晚上,法語新聞頻道 TV5 Monde停止傳輸。該網站和社交媒體帳戶被污損,並顯示出一個名為「網路哈里發」的神秘駭客組織的顏色。第二天,部長們紛紛湧向巴黎總部表示支持,ANSSI的IT安全專家則一絲不苟地開始了調查和修復工作。很快,「網路哈里發」就顯露出來了APT28 的假鼻子,一群俄羅斯駭客。視聽頻道需要數月時間才能恢復正常運作。財務影響達數百萬歐元。“從所使用的操作方法來看,其目標是毀滅我們”TV5 Monde 總經理 Yves Bigot 在 2015 年 12 月估計。
罕見的是,國家資訊系統安全局(ANSSI)在會議之際對此事件進行了相當完整的技術分析2017年SSTIC。它具體地突顯了駭客所使用的作案手法及其利用的缺陷。攻擊過程就像有針對性的攻擊的教科書案例一樣,有四個主要階段:探索、妥協、收集/驗證和破壞。
盜版者從 2015 年 1 月開始幾個月前就開始了他們的工作。 透過分析 TV5 Monde 的技術環境,他們首先發現了一個允許記者將視聽內容傳輸到該頻道的伺服器。配置不佳,它有一個帶有預設憑證的 RDP(遠端桌面連接)帳戶。駭客連接到它並安裝遠端存取軟體(RAT,遠端存取工具),但空手而歸,因為該機器僅透過專門的同軸連接連接到網路的其餘部分,而這種連接很難被利用。
入口點是提供者的 VPN 帳戶
但第二次嘗試將是正確的。幾天后,即 2015 年 2 月 6 日,駭客捲土重來,並使用提供者的 VPN 帳戶成功進入網路。他們掃描了頻道的內部網絡,很快就發現了兩台 Windows 機器,它們管理 TV5 Monde 報紙上的攝影機器人。整合商預設配置的帳戶允許他們毫無問題地在這兩台電腦上安裝 RAT。
從那裡開始,他們開始尋找每次有針對性的企業攻擊的聖杯:Active Directory,即網路上所有使用者帳戶的資料庫。駭客設法透過管理員帳戶連接到託管 Active Directory 的伺服器,該帳戶同樣屬於服務提供者。他們立即建立自己的管理員帳戶,簡稱為「LocalAdministrator」。現在是 2 月 11 日。
海盜們給自己提供了幾天的喘息時間。從2月16日起,他們開始收集資訊。他們監視網路訊息並從該頻道的內部維基上竊取所有技術文件。他們獲取標識符、IP 位址、架構和網路圖、業務流程的描述等。這是頭獎。由於這些資訊(他們將多次驗證這些資訊),駭客完全控制了 TV5 Monde 的基礎設施。然後,駭客在網路管理員(「Ankou」)的電腦上放置一個名為「ConnectBack」的後門。它將允許他們直接連接到鏈的網絡,而無需通過 VPN。然後他們就靜靜地等待大日子的到來。
4月8日晚,抵達安口。他們首先在這台機器上安裝一個永遠不會使用的 RAT。這是一個誘餌,旨在掩蓋以後的痕跡。然後破壞活動就開始了。晚上 8 點左右,他們破壞了編碼器和多工器的 IP 配置。下次重新啟動時,它們將完全無法操作。晚上 9 點左右,他們破壞網站和社交媒體帳戶。晚上 10 點左右,他們刪除了 TV5 Monde 網路上交換器和路由器的韌體。結果是立竿見影的:黑屏。在鏈條中,恐慌開始出現。晚上 10 點 40 分左右,駭客發起了最後的破壞行動,刪除了一定數量的虛擬機,包括內部訊息。午夜時分,技術團隊決定切斷網路連線。攻擊終於停止了,但技術基礎設施卻成了廢墟。
重建的壓力
隔日,ANSSI專家趕赴現場分析狀況,挽救通道。他們的首要措施之一是建立一個危機部門,“過濾網路泡沫”和一個“USB 記憶棒 SAS 系統”。最初,記者們不得不使用五個連接到網路的工作站。「我們不能相信任何事情,因為我們不知道攻擊者接觸過的一切。那個階段我們還沒有清理任何東西。”,一位 ANSSI 專家解釋道。
然後,這些 IT 安全專家將慢慢重建一個可運作、健康且完整的網絡,這顯然依賴於內部團隊的技能。幾週來,員工們經歷了地獄般的生活,工作條件非常惡化(長時間工作、取消假期),並且害怕再次見到海盜。壓力如此之大,以至於簡單的密碼重置就會讓一些人突然崩潰。
新網路的技術切換將於5月11日進行。 TV5 Monde終於浴火重生。在這個漫長的修復過程中,ANSSI 毫不意外地發現了TV5 Monde 網路的許多弱點:無效的網路分區和分段、由於外包過多而失去技術控制、管理鬆懈的存取權限、不完整的系統更新等。特別是,“幾乎是新的防火牆”TV5 Monde 的 IT 總監在攻擊發生後的第二天就誇口說,實際上該功能無法運行,因為沒有“沒有過濾規則或很少,最多兩個”,專家強調。
就駭客行為而言,這起事件頗具象徵意義,這無疑也是通常不太談論安全事件的 ANSSI 決定溝通的原因。「我們差點就遭遇災難,無論是設備被摧毀還是非法內容的發布。整個事件代表了當今電腦系統的極端脆弱性。在我們的現代社會中,對 IT 重要性的認識確實存在問題””,ANSSI 專家總結道。希望這種普遍意識很快就會到來。
