ในฤดูใบไม้ผลิปี 2015 แฮกเกอร์ที่มีเชื้อสายรัสเซียสามารถทำลายล้างช่องข่าว TV5 Monde ที่พูดภาษาฝรั่งเศสได้สำเร็จ นี่คือเรื่องราวของปฏิบัติการนี้ ตามองค์ประกอบทางเทคนิคที่เพิ่งถูกเปิดเผย
เหตุการณ์ดังกล่าวทำให้เกิดความปั่นป่วนอย่างมาก เมื่อประมาณสองปีก่อน ในคืนวันที่ 8 ถึง 9 เมษายน พ.ศ. 2558ช่องข่าวที่พูดภาษาฝรั่งเศส TV5 Mondeหยุดส่งสัญญาณ เว็บไซต์และบัญชีโซเชียลมีเดียถูกโจมตีและแสดงสีของกลุ่มแฮ็กเกอร์ลึกลับที่เรียกว่า “Cyber Caliphate” วันรุ่งขึ้น บรรดารัฐมนตรีแห่กันไปที่สำนักงานใหญ่ในปารีสเพื่อแสดงการสนับสนุน ในขณะที่ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีของ ANSSI ก็เริ่มงานสืบสวนและแก้ไขอย่างพิถีพิถัน อย่างรวดเร็ว “คอลีฟะห์ไซเบอร์” ก็เผยตัวว่าเป็นจมูกปลอมจาก APT28ซึ่งเป็นกลุ่มแฮกเกอร์ชาวรัสเซีย ช่องภาพและเสียงจะใช้เวลาหลายเดือนกว่าจะกลับมาทำงานได้ตามปกติ ผลกระทบทางการเงินมีมูลค่านับล้านยูโร“ได้รับการพิสูจน์แล้วโดยวิธีการใช้งานว่าเป้าหมายคือการทำลายพวกเรา”ประมาณการโดย Yves Bigot ผู้อำนวยการทั่วไปของ TV5 Monde ในเดือนธันวาคม 2558
หน่วยงานความมั่นคงระบบสารสนเทศแห่งชาติ (ANSSI) ได้นำเสนอการวิเคราะห์ทางเทคนิคที่ค่อนข้างสมบูรณ์ของเหตุการณ์นี้ในโอกาสของการประชุมไม่บ่อยนักสสจ.2560- มันเน้นย้ำถึงวิธีการทำงานที่แฮกเกอร์ใช้และข้อบกพร่องที่พวกเขาใช้ประโยชน์อย่างเป็นรูปธรรม แนวทางการโจมตีนำเสนอตัวเองเป็นกรณีตำราของการโจมตีแบบกำหนดเป้าหมาย โดยมีสี่ขั้นตอนหลัก: การสำรวจ การประนีประนอม การรวบรวม/การตรวจสอบ และการก่อวินาศกรรม
กลุ่มโจรสลัดเริ่มทำงานเมื่อหลายเดือนก่อน ตั้งแต่เดือนมกราคม 2015 ด้วยการวิเคราะห์สภาพแวดล้อมทางเทคนิคของ TV5 Monde พวกเขาค้นพบเซิร์ฟเวอร์ที่อนุญาตให้นักข่าวส่งเนื้อหาภาพและเสียงไปยังช่องได้เป็นครั้งแรก มีการกำหนดค่าไม่ดี มีบัญชี RDP (การเชื่อมต่อเดสก์ท็อประยะไกล) พร้อมข้อมูลรับรองเริ่มต้น แฮกเกอร์เชื่อมต่อและติดตั้งซอฟต์แวร์การเข้าถึงระยะไกล (RAT, Remote Access Tool) แต่ปล่อยมือเปล่าเพราะเครื่องเชื่อมต่อกับส่วนที่เหลือของเครือข่ายโดยการเชื่อมต่อโคแอกเซียลเฉพาะทางเท่านั้น ซึ่งยากต่อการใช้ประโยชน์
จุดเริ่มต้นคือบัญชี VPN ของผู้ให้บริการ
แต่ความพยายามครั้งที่สองจะเป็นความพยายามที่ถูกต้อง ไม่กี่วันต่อมา ในวันที่ 6 กุมภาพันธ์ 2558 แฮกเกอร์กลับมาและเข้าสู่เครือข่ายได้สำเร็จโดยใช้บัญชี VPN ของผู้ให้บริการ พวกเขาสแกนเครือข่ายภายในของช่องและค้นพบเครื่อง Windows สองเครื่องอย่างรวดเร็วซึ่งจัดการหุ่นยนต์กล้องในชุดหนังสือพิมพ์ TV5 Monde บัญชีที่กำหนดค่าโดยค่าเริ่มต้นโดยผู้รวมระบบช่วยให้สามารถติดตั้ง RAT บนคอมพิวเตอร์ทั้งสองเครื่องได้โดยไม่มีปัญหา
จากนั้น พวกเขาออกเดินทางเพื่อค้นหาจอกศักดิ์สิทธิ์ของการโจมตีองค์กรที่เป็นเป้าหมายทั้งหมด: Active Directory ซึ่งเป็นฐานข้อมูลของบัญชีผู้ใช้ทั้งหมดบนเครือข่าย แฮกเกอร์จัดการเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ที่โฮสต์ Active Directory ผ่านบัญชีผู้ดูแลระบบซึ่งเป็นของผู้ให้บริการอีกครั้ง ทันที พวกเขาจะสร้างบัญชีผู้ดูแลระบบของตนเอง เรียกง่ายๆ ว่า "LocalAdministrator" เป็นวันที่ 11 กุมภาพันธ์
พวกโจรสลัดเสนอการผ่อนปรนให้ตัวเองสักสองสามวัน ตั้งแต่วันที่ 16 กุมภาพันธ์ เป็นต้นไป จะเริ่มรวบรวมข้อมูล พวกเขาสอดแนมข้อความทางอินเทอร์เน็ตและดูด Wiki ภายในของช่องออกไป ซึ่งพวกเขาจะพบเอกสารทางเทคนิคทั้งหมด พวกเขาได้รับตัวระบุ ที่อยู่ IP ไดอะแกรมสถาปัตยกรรมและเครือข่าย คำอธิบายขั้นตอนทางธุรกิจ ฯลฯ มันคือแจ็คพอต ด้วยข้อมูลนี้ ซึ่งพวกเขาจะตรวจสอบหลายครั้ง แฮกเกอร์จึงสามารถควบคุมโครงสร้างพื้นฐานของ TV5 Monde ได้ทั้งหมด จากนั้นแฮกเกอร์จะวางแบ็คดอร์ที่เรียกว่า “ConnectBack” บนเครื่องของผู้ดูแลระบบเครือข่าย (“Ankou”) มันจะช่วยให้พวกเขาเชื่อมต่อโดยตรงกับเครือข่ายของลูกโซ่โดยไม่ต้องผ่าน VPN จากนั้นพวกเขาก็รอวันสำคัญอย่างเงียบ ๆ
ในตอนเย็นของวันที่ 8 เมษายน พวกเขาเชื่อมต่อกับอันโข่ว พวกเขาเริ่มต้นด้วยการติดตั้ง RAT บนเครื่องนี้ซึ่งจะไม่มีวันใช้งาน นี่คือตัวล่อที่ตั้งใจจะปกปิดรอยทางในภายหลัง จากนั้นการก่อวินาศกรรมก็เริ่มต้นขึ้น ประมาณ 20.00 น. ส่งผลให้การกำหนดค่า IP ของเครื่องเข้ารหัสและมัลติเพล็กเซอร์เสียหาย ครั้งถัดไปที่คุณรีบูต อุปกรณ์เหล่านั้นจะไม่สามารถใช้งานได้โดยสิ้นเชิง ประมาณ 21.00 น. พวกเขาทำลายเว็บไซต์และบัญชีโซเชียลมีเดีย ประมาณ 22.00 น. พวกเขาลบเฟิร์มแวร์ของสวิตช์และเราเตอร์บนเครือข่าย TV5 Monde ผลลัพธ์ทันทีคือเป็นหน้าจอสีดำ ภายในห่วงโซ่ ความตื่นตระหนกก็เข้ามา ประมาณ 22:40 น. แฮกเกอร์เริ่มปฏิบัติการก่อวินาศกรรมครั้งสุดท้ายด้วยการลบเครื่องเสมือนจำนวนหนึ่งรวมถึงการส่งข้อความภายใน ประมาณเที่ยงคืน ทีมงานด้านเทคนิคตัดสินใจตัดการเชื่อมต่ออินเทอร์เน็ต ในที่สุดการโจมตีก็หยุดลง แต่โครงสร้างพื้นฐานทางเทคนิคกลับพังทลาย
ความเครียดของการฟื้นฟู
วันรุ่งขึ้น ผู้เชี่ยวชาญ ANSSI มาที่ไซต์เพื่อวิเคราะห์สถานการณ์และบันทึกช่อง มาตรการแรกๆ คือการจัดตั้งหน่วยวิกฤต“กรองฟองอินเทอร์เน็ต”และก“ระบบ SAS สำหรับแท่ง USB”- ในขั้นต้น นักข่าวต้องทำเวิร์กสเตชันห้าเครื่องที่เชื่อมต่อกับอินเทอร์เน็ต“เราไม่สามารถเชื่ออะไรได้เลยเพราะเราไม่รู้ทุกสิ่งที่ผู้โจมตีสัมผัส เรายังไม่ได้ทำความสะอาดอะไรเลยในขั้นตอนนั้น”อธิบายหนึ่งในผู้เชี่ยวชาญ ANSSI
จากนั้น ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีเหล่านี้จะสร้างเครือข่ายที่ใช้งานได้ มีประสิทธิภาพ และไม่เสียหายขึ้นใหม่อย่างช้าๆ โดยอาศัยทักษะของทีมภายในอย่างเห็นได้ชัด เป็นเวลาหลายสัปดาห์ที่พนักงานต้องตกนรกด้วยสภาพการทำงานที่ทรุดโทรมมาก (ชั่วโมงทำงานที่ยาวนาน วันหยุดที่ถูกยกเลิก) และความกลัวในท้องที่จะได้เห็นโจรสลัดอีกครั้ง ระดับของความเครียดนั้นอยู่ที่การรีเซ็ตรหัสผ่านง่ายๆ อาจทำให้บางคนพังได้ในทันที
การเปลี่ยนทางเทคนิคไปใช้เครือข่ายใหม่จะมีขึ้นในวันที่ 11 พฤษภาคม ในที่สุด TV5 Monde ก็ฟื้นคืนชีพขึ้นมาจากเถ้าถ่านของมัน ตลอดกระบวนการแก้ไขอันยาวนานนี้ ANSSI ค้นพบจุดอ่อนหลายประการของเครือข่าย TV5 Monde โดยไม่ต้องแปลกใจมากนัก: การแบ่งพาร์ติชันและการแบ่งส่วนเครือข่ายที่ไม่มีประสิทธิภาพ การสูญเสียการควบคุมทางเทคนิคเนื่องจากการจ้างบุคคลภายนอกมากเกินไป สิทธิ์การเข้าถึงการจัดการที่หละหลวม การอัปเดตระบบที่ไม่สมบูรณ์ ฯลฯ โดยเฉพาะอย่างยิ่ง“ไฟร์วอลล์เกือบใหม่”ซึ่งผู้อำนวยการฝ่ายไอทีของ TV5 Monde ได้อวดอ้างในวันรุ่งขึ้นหลังจากการโจมตีนั้น ในความเป็นจริงแล้วไม่สามารถดำเนินการได้ เนื่องจากไม่มี“ไม่มีกฎการกรองหรือไม่กี่ข้อ สูงสุดอาจสองข้อ”,เน้นย้ำถึงผู้เชี่ยวชาญ
ในแง่ของการแฮ็ก เหตุการณ์นี้ค่อนข้างเป็นสัญลักษณ์ และไม่ต้องสงสัยเลยว่าทำไม ANSSI ซึ่งมักจะไม่ค่อยพูดถึงเหตุการณ์ด้านความปลอดภัย จึงตัดสินใจสื่อสาร“เราเข้าใกล้ภัยพิบัติ ไม่ว่าจะเป็นการทำลายอุปกรณ์หรือการเผยแพร่เนื้อหาที่ผิดกฎหมาย เหตุการณ์ทั้งหมดนี้เป็นตัวแทนของช่องโหว่ของระบบคอมพิวเตอร์ในปัจจุบัน มีปัญหาอย่างแท้จริงในการตระหนักรู้ถึงความสำคัญของไอทีในสังคมยุคใหม่ของเรา”, สรุปผู้เชี่ยวชาญ ANSSI หวังว่าความตระหนักรู้ทั่วไปนี้จะเกิดขึ้นเร็วๆ นี้
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
