image

Hacker Franse televisiezender TV5 kwam binnen via vpn

vrijdag 16 juni 2017, 14:47 door Redactie, 11 reacties

De hacker die in 2015 de Franse televisiezender TV5 hackte kwam binnen via de gecompromitteerde vpn-gegevens van een derde partij. Dat blijkt uit een uitgebreide analyse van de hack waardoor de televisiezender uiteindelijk een aantal uren op zwart ging. Tijdens een recente conferentie in Frankrijk presenteerde het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) het onderzoek naar de hack.

Op deze manier wil de organisatie kennis over het incident delen, zodat ook anderen hiervan kunnen profiteren om hun netwerken te beschermen. Uit het onderzoek blijkt dat de aanvaller op 23 januari 2015 voor het eerst toegang tot het netwerk kreeg. Een multimedia-server bleek via rdp (remote desktopprotocol) voor heel het internet toegankelijk te zijn en maakte gebruik van een standaard gebruikersnaam en wachtwoord.

De machine was echter niet verbonden met het interne netwerk en de aanvaller beschouwde het dan ook als een doodlopend einde, zegt beveiligingsonderzoeker Matt Suiche die een overzicht van de analyse online zette. De aanvaller kwam echter terug, dit keer met de gecompromitteerde vpn-gegevens van een derde partij. Via deze vpn-verbinding kreeg de aanvaller toegang tot twee Windowscomputers die voor het beheer van de camera's werden gebruikt.

Eén van deze machines werd gebruikt om een nieuwe Active Directory Administrator-gebruiker aan te maken. Hierbij maakte de aanvaller echter een fout. Hij had een Engelse gebruikersnaam voor het account gebruikt, terwijl de rest van de Active Directory Franstalig is. Iets dat de onderzoekers tijdens het onderzoek naar de hack snel opviel. Vanaf 16 februari tot 25 maart zocht de aanvaller naar andere inloggegevens en verzamelde informatie over de verschillende platformen. Daarnaast werden de gestolen inloggegevens ook getest om te kijken of ze nog werkten.

De aanvaller wist vervolgens de machine van een beheerder te compromitteren die de remote access control (RAT) bevatte waarmee de sabotage uiteindelijk werd uitgevoerd. Tijdens de sabotage wijzigde de aanvaller ip-gegevens van mediasystemen, nam socialmedia-accounts over en wiste de firmware van switches en routers. "De aanvaller was bijna drie maanden in het netwerk aanwezig en bereidde zijn sabotage-operatie zorgvuldig voor door de verzamelde informatie te controleren", aldus Suiche. De analyse bevat verder tien punten om een dergelijke hack te voorkomen en te verhelpen.

Image

Reacties (11)
16-06-2017, 14:51 door Anoniem
Die eerste deur is toch wel heel belangrijk en RDP VPN noemen is volgens mij niet hetzelfde..
2FA lost veel van dit soort gelekte credentials op.
16-06-2017, 15:57 door Anoniem
Open deur = "Die eerste deur is toch wel heel belangrijk"

Die eerste deur is essentieel en heel vaak een lullig iets, een phishingmailtje bijvoorbeeld.
Vrijwel alle geavanceerde hacks maken gebruik van een eerste pure simpele lulligheid om het eerste haakje uit te gooien.

Spit het nieuws er maar op na.
Het is daarmee niet alleen een open deur maar lijkt bijna zelfs een wetmatigheid geworden.
Grappig is dat, en ook een wetmatigheid in crimi(tv)land, die aanvaller ook weer door de mand valt met een lulligheidje.

'The devil is altijd en overal en vooral te vinden in the lullige details'.
Criminelen maken er gebruik van, staatshackers en opspeurders.
16-06-2017, 16:16 door karma4
[Verwijderd]
16-06-2017, 16:16 door karma4
Wauw een vpn die gebroken is vpn is niet Windows.
Die multimedia server was voldoende geïsoleerd. .
Maar dan: bewakingscamera's (draaien niet windows) waar een apart neergezette server voor de camera's alle rechten in het ad-domein krijgt en open staat ofwel ongecontroleerd is neergezet.
Doet me denken aan het advies van ds ncsc om de installatie instructies van de leverancier te volgen. Maakt niet uit hoe slecht die installatie is.
Het andere van gedeelde Accounts met passwords op de schermen geplakt wisten we al. Een slecht secùrity beleid valt met geen enkele vendor of tool goed te krijgen.
16-06-2017, 22:45 door [Account Verwijderd] - Bijgewerkt: 16-06-2017, 22:45
[Verwijderd]
17-06-2017, 08:41 door Anoniem
Door Anoniem: Die eerste deur is toch wel heel belangrijk en RDP VPN noemen is volgens mij niet hetzelfde..
2FA lost veel van dit soort gelekte credentials op.

Ze noemen RDP ook nergens een VPN. Beter lezen.
De RDP toegang was een en dood spoor. Pas daarna kwam hij via een VPN binnen.
17-06-2017, 09:35 door Anoniem
Door karma4: Maar dan: bewakingscamera's (draaien niet windows) waar een apart neergezette server voor de camera's alle rechten in het ad-domein krijgt en open staat ofwel ongecontroleerd is neergezet.
We hebben het hier over een televisiezender, daar worden behalve bewakingscamera's ook andere camera's gebruikt. "Windows machines managing the cameras" zou bijvoorbeeld om systemen kunnen gaan waarmee de inzet van (nogal kostbare) televisiecamera's wordt gepland en beheerd. Dan is de vraag wat die camera's voor firmware aan boord hebben voor dit incident vermoedelijk volkomen irrelevant.

Door Neb Poorten: Elders de sleutel (VPN-gegevens) gejat en toen het gebouw binnen. Script kiddies dus. Losers.
Aanvallers die het geduld hebben om gedurende bijna drie maanden een netwerk waar ze op binnen zijn gedrongen te verkennen en analyseren om dan pas de genadeslag toe te brengen vind ik niet in het beeld van scriptkiddies passen. En aangezien ze in hun opzet geslaagd zijn slaat 'losers' de plank nogal mis in mijn ogen.

Wat zouden jullie allebei ervan zeggen om ons een beetje professioneel te gedragen? Niet oppervlakkig wat roepen; geen meningen als stellige zekerheden poneren; alert zijn op alternatieve verklaringen; je baseren op feiten en niet op aannames, analogieën of vooroordelen; aannames verifiëren voordat je concludeert dat het feiten zijn; erkennen dat je niet weet wat je niet weet.
17-06-2017, 10:10 door Anoniem
Door Neb Poorten:
De aanvaller kwam echter terug, dit keer met de gecompromitteerde vpn-gegevens van een derde partij. Via deze vpn-verbinding kreeg de aanvaller toegang tot twee Windowscomputers die voor het beheer van de camera's werden gebruikt.

Elders de sleutel (VPN-gegevens) gejat en toen het gebouw binnen. Script kiddies dus. Losers.
BS. Een goed voorbereide operatie die ver boven het niveau van de gemiddelde scriptkiddie gaat. Lees anders gewoon het hele verhaal. En nee, je hoeft niet je eigen 0-day te schrijven om het scriptkiddie-niveau te ontstijgen.
17-06-2017, 12:08 door Anoniem
Nice. die onderzoeker is of was een klant van mij.
19-06-2017, 09:03 door karma4
Door Anoniem: ...
Wat zouden jullie allebei ervan zeggen om ons een beetje professioneel te gedragen? Niet oppervlakkig wat roepen; geen meningen als stellige zekerheden poneren; alert zijn op alternatieve verklaringen; je baseren op feiten en niet op aannames, analogieën of vooroordelen; aannames verifiëren voordat je concludeert dat het feiten zijn; erkennen dat je niet weet wat je niet weet.
Daar heb je een goed punt.
Met de genoemde feiten heb je nog genoeg op te lossen vragen. Met de lange tijd dat de Hackers zich hebben kunnen rond bewegen mag je afleiden dat een ids niet aanwezig is of gefaald heeft. De eerdere feiten net gedeelde Accounts passons op briefjes tijdens opnamen laten een slecht security beleid zien. Dat mogen we toch als feit zien zonder aannames.

In dit artikel wordt de bron beheer van camera's genoemd. Nu zij de tv camera's redelijk specialistich daar had ik niet direct aan gedacht, dat kan ook. Met bewakingscamera's uitbesteding van dat soort werk maar tegelijkertijd de apparatuur direct intern aansluiten is er veel neer ervaring en dat het goed fout gaat met cybersecurity.

Juist die achtergrond wat er speelt, wie welke beslissingen heeft genomen is het meest interessante. Het is gewoonlijk niet de techniek die faalt als echte oorzaak al wil men dat wel zo doen voorkomen. Daarmee is verantwoordelijke buiten beeld.
19-06-2017, 12:48 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.