Hackere med påstått tilknytning til terrorgruppa IS gjorde i forrige uke stor skade på datasystemene til franske TV5 Monde.
Bakgrunn: Islamister slo ut fransk TV-kanal
Deres 11 kanaler distribuert til over 200 land gikk i svart. TV-selskapets kontoer i sosiale medier ble også kapret. Disse ble brukt for å spre propaganda og lekke personopplysninger om franske soldater.
Basert på offentlig tilgjengelig informasjon har svenske Knowit Secure gjort en analyse av hvordan angrepet kan ha skjedd.
De fant umiddelbart at TV5 Monde har mange systemer som er eksponert direkte mot internett. Hver av dem et «potensielt angrepsmål» for å bryte seg videre inn i de bakenforliggende systemene.
- Et enkelt søk pekte oss i retning av plattformen de benytter for sendingene sine, for øvrig en svensk plattform. Det er flere måter å angripe en slik løsning på, man kan gå direkte på det webbaserte administrasjonsgrensesnittet, heter det i analysen.
Den er ført i pennen av to tungvektere med lang erfaring innen sikkerhet; selskapets sikkerhetskonsulenter Patrick Kall og Roland Heickerö. Sistnevnte er også dosent på Försvarshögskolan og førsteamanuensis (adj professor) i IT-sikkerhet ved Kungliga Tekniska Högskolan (KTH) i Stockholm.
De peker på flere mulige angrepsvektorer, herunder dårlig patching, svake passord og dårlig skallbeskyttelse.
Skriften på veggen
Ars Technica fanget opp at TV5 Monde har avslørt sine egne passord direkte på lufta.
Da en reporter ble intervjuet i kanalens redaksjonslokaler hang det papirark med passord på veggen bak ham, blant annet til TV5 Mondes kontoer på Twitter, Youtube og Instagram. Noen av disse var synlige for seerne med det blotte øyet.
Et eksempel som gjengis er at passordet til Youtube var «lemotdepassedeyoutube». Oversatt fra fransk til norsk tilsvarer det «youtubepassordet». Dette hang altså på veggen med relativt stor skrifttype.
Påstander gjengitt av den russiske TV-stasjonen NTV hevder også at TV5 Monde brukte «azerty12345» - den franske ekvivalenten til vår «qwerty12345» som passord til administrative systemer.
I sum tegner dette et bilde av en virksomhet med mildt sagt elendige passord-rutiner.
Gule lapper
Andre har senere fanget opp det som fremstår som brukernavn og passord tilhørende kanalens ansatte på gule lapper ved arbeidsstasjonen.
Knowit nevner ikke passord-fadesen i sin analyse, men skriver i stedet:
- Hva gjelder de sosiale mediene og kontoene der så er disse relativt enkle å ta over. Ofte er det en felles konto som alle kommunikatører benytter. Passordene er ofte for svake for at de skal være enkelt å legge ut nye tweets eller statusoppdateringer. Har de kapret en konto har de også med stor sannsynlighet tilgang til alle kontorene.
Analysen lanserer også et annet mulig angrepsscenario, som de mener kan ha blitt unyttet i hackingen av TV5 Monde:
Man kan også forsøke å angripe faktureringssystemet. Den såkalte billingserveren styrer hvilke program eller kanaler som sendes videre til de ulike distributørene. Hvis du kan fortelle serveren at ingen lenger benytter kanalen, eller slette alle kundedata, så blir det svarte tv-skjermer.
- Terrorhandling
Med TV-selskapets uttalelser om at angriperne påførte «betydelig skade» på datasystemene er dette en sannsynlig fremgangsmetode, mener Knowit Secure.
TV5 Mondes toppsjef Yves Bigot har uttalt at hackerangrepet de ble rammet av var «uten sidestykke». Kanalen gikk i svart klokken 22 onsdag i forrige uke. TV-sendingene var for det meste slått ut fram til torsdag morgen, med påfølgende store forstyrrelser i sendeplanen resten av dagen.
Den franske innenriksministeren Bernard Cazeneuve har i uttalelser gitt uttrykk for at regjeringen i Paris anser hackerangrepet for å være en terrorhandling.
Les også: BIOS-hack mot servere
Russiske hackere stjal Obamas hemmelige timeplan
Twitch er hacket. Millioner må bytte passord