Trojan w Visual Basicu i hasła na ekranie telewizora – szczegóły włamania do TV5

dodał 10 kwietnia 2015 o 10:27 w kategorii Włamania  z tagami:
Trojan w Visual Basicu i hasła na ekranie telewizora – szczegóły włamania do TV5

Zhakowana przedwczoraj stacja telewizyjna TV5 w reportażu o włamaniu pokazała na antenie swoje nowe hasła do serwisów społecznościowych. Wygląda także na to, że włamywacze użyli do swoich celów wyjątkowo prymitywnych narzędzi.

Wszystko wskazuje na to, że atak na francuską stację telewizyjną, który doprowadził do wyłączenia transmisji jej kanałów, wcale nie musiał być wyrafinowany. Sama stacja kilkanaście godzin później pokazała na antenie swoje nowe hasła a włamywacze prawdopodobnie korzystali z konia trojańskiego napisanego w Visual Basicu.

Nasze nowe hasło to haslodoyoutuba

W materiale filmowym innej francuskiej stacji informacyjnej, opisującej wydarzenia w TV5, pojawiła się scena, w której jeden z pracowników stacji opowiada o swoich przeżyciach związanych z atakiem. Stoi on na tle ściany, na której wiszą różne kartki. Na jednej z nich można zauważyć hasła do serwisów Youtube oraz Instagram. To pierwsze można przy użyciu odrobiny wyobraźni odczytać – brzmi lemotdepassedeyoutube, czyli haslodoyoutuba.

Hasła francuskiej stacji na ścianie

Hasła francuskiej stacji na ścianie

Przykład ten wskazuje na co najmniej trzy złe praktyki. Po pierwsze, hasła nie powinny wisieć na ścianie, gdzie może zobaczyć je każdy przechodzący, przypadkowy gość. Po drugie, hasła nie powinny być filmowane przez ekipę telewizyjną. Po trzecie hasła powinny mieć większy poziom skomplikowania. Niestety jak widać kultura bezpieczeństwa informacji jest daleka pracownikom TV5. Co ciekawe, w innym programie również poświęconym temu incydentowi pojawiło się kolejne hasło, na klasycznej żółtej karteczce, wyglądające na hasło konkretnego użytkownika.

Drugie hasło na antenie

Drugie hasło na antenie

Koń trojański w Visual Basicu

Pojawiają się także pierwsze informacje dotyczące samej techniki włamania i przeprowadzenia ataku na serwery stacji. Serwis Breaking3.0 twierdzi, że jednym z mechanizmów użytych przez włamywaczy był skrypt w Visual Basicu, którego autorstwo można przypisać algierskim miłośnikom podmian cudzych stron WWW. Firma Blue Coat poddała analizie bardzo podobną wersję skryptu, posiadającą zapewne identyczne funkcje.

Nagłówki skryptu

Nagłówki skryptu

Skrypt ten działa jako prosty klient botnetu. Może wykonywać takie polecenia jak pobranie wskazanego pliku, jego wykonanie, wykonanie polecenia powłoki oraz ponowne uruchomienie komputera. Wszystko wskazuje na to, że jest adaptacja skryptu znanego jako KJ_W0rm, który z kolei jest modyfikacją bardzo starego narzędzia NJ_W0rm.  Programy antywirusowe wykrywają je jako VBS/Jenxcus, a infekcji często towarzyszy również program w .NET o nazwie Bladabindi. Ten program, popularny na Bliskim Wschodzie, z kolei ma większy zakres funkcji – potrafi wykonywać zrzuty ekranu czy kraść loginy i hasła zapisane w przeglądarkach.

Jak na razie wiele wskazuje na to, że atakujący nie musieli popisywać się szczególnymi umiejętnościami, a pracownicy stacji sami pomogli w przeprowadzeniu ataku. Stacja była ostrzegana 2 tygodnie wcześniej przez lokalne służby o infekcji jednego z jej serwerów i planowała przeprowadzenie audytu bezpieczeństwa, lecz najwyraźniej nie był on najwyższym priorytetem. Stacja poniosła poważne straty – do tej pory nie uruchomiła produkcji własnych materiałów, wiemy także, że na początku ataku padł firmowy serwer pocztowy. Wygląda jednak na to, że szkody, poczynione przez włamywaczy, są mniejsze niż w przypadku Sony Pictures.