De hacker die in 2015 de Franse televisiezender TV5 hackte kwam binnen via de gecompromitteerde vpn-gegevens van een derde partij. Dat blijkt uit een uitgebreide analyse van de hack waardoor de televisiezender uiteindelijk een aantal uren op zwart ging. Tijdens een recente conferentie in Frankrijk presenteerde het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) het onderzoek naar de hack.
Op deze manier wil de organisatie kennis over het incident delen, zodat ook anderen hiervan kunnen profiteren om hun netwerken te beschermen. Uit het onderzoek blijkt dat de aanvaller op 23 januari 2015 voor het eerst toegang tot het netwerk kreeg. Een multimedia-server bleek via rdp (remote desktopprotocol) voor heel het internet toegankelijk te zijn en maakte gebruik van een standaard gebruikersnaam en wachtwoord.
De machine was echter niet verbonden met het interne netwerk en de aanvaller beschouwde het dan ook als een doodlopend einde, zegt beveiligingsonderzoeker Matt Suiche die een overzicht van de analyse online zette. De aanvaller kwam echter terug, dit keer met de gecompromitteerde vpn-gegevens van een derde partij. Via deze vpn-verbinding kreeg de aanvaller toegang tot twee Windowscomputers die voor het beheer van de camera's werden gebruikt.
Eén van deze machines werd gebruikt om een nieuwe Active Directory Administrator-gebruiker aan te maken. Hierbij maakte de aanvaller echter een fout. Hij had een Engelse gebruikersnaam voor het account gebruikt, terwijl de rest van de Active Directory Franstalig is. Iets dat de onderzoekers tijdens het onderzoek naar de hack snel opviel. Vanaf 16 februari tot 25 maart zocht de aanvaller naar andere inloggegevens en verzamelde informatie over de verschillende platformen. Daarnaast werden de gestolen inloggegevens ook getest om te kijken of ze nog werkten.
De aanvaller wist vervolgens de machine van een beheerder te compromitteren die de remote access control (RAT) bevatte waarmee de sabotage uiteindelijk werd uitgevoerd. Tijdens de sabotage wijzigde de aanvaller ip-gegevens van mediasystemen, nam socialmedia-accounts over en wiste de firmware van switches en routers. "De aanvaller was bijna drie maanden in het netwerk aanwezig en bereidde zijn sabotage-operatie zorgvuldig voor door de verzamelde informatie te controleren", aldus Suiche. De analyse bevat verder tien punten om een dergelijke hack te voorkomen en te verhelpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.