Que s'est il passé dans la nuit du mercredi 8 à jeudi 9 avril sur les réseaux de TV5 Monde ?

Que s'est il passé dans  la nuit du mercredi 8 à jeudi 9 avril sur les réseaux de TV5 Monde ?

 

 Last update: septembre 2015:

 

http://www.itgovernance.eu/blog/apt28-hack-will-cost-french-broadcaster-tv5monde-e15-million/?utm_source=Email&utm_medium=Macro&utm_campaign=S01&utm_content=2015-07-29

Selon le site: "The cost of the attack is estimated to be between €4,3 and €4,5 million in 2015, and €11 million over the next three years – a total of more than €15 million." 

Pour Guillaume Poupard, directeur de l'ANSSI, interrogé par Cyberisques NEWS fin juillet 2015:

" Les opérations de Forensic sur TV5 n'ont pris que 60 mn".

 

Un maitre-mot: modération. Comme d'habitude lors d'une cyber-attaque hyper-médiatisée, on assiste a trop de gesticulations et d'interventions médiatiques. Ces dernières brouillent les signaux propres à une véritable information déjà difficile a déceler.  

Tous les experts le savent : sur une « cyber-scene de eCrime » il est impossible de mener de front deux missions essentielles : prendre un maximum de « photos » techniques,  des traces de la cyber-attaque et en parallèle rétablir les services endommagés. « si je rétablis le service je perds mes traces, et si je m’occupe de récupérer les traces, je ne peux pas rétablir le service… » explique cet expert qui souhaite rester dans l'ombre. Ce paradoxe c'est celui que gère actuellement près de 48h00 après la découverte de l'attaque la quinzaine d'ingénieurs de l'ANSSI en collaboration avec les équipes techniques de TV5 Monde. Pour Guillaume Poupard interrogé vendredi matin 10 avril sur Europe 1 : « il faut rester prudent en jouant la carte de la paranoïa sereine ». Pour l'heure, l'ANSSI estime que les risques principaux sont écartés. La Cyber-attaque est donc stoppée. Stoppée pas si sûr Des doutes étaient encore exprimés aujourd'hui par certaines sources trvaillant chez TV5 Monde (ou votre serviteur se trouvait pour participer au JT de 11h00 http://playtv.fr/replay-tv/videos/tv5-monde/ )

 

 

55265bad35704bb01ba8dea0

 

 

Une certitude, toujours ce vendredi 10 avril, si les opérations de « prise d'empreinte numérique » étaient toujours en cours dans la matinée, le rétablissement de tous les services ne pourra se réaliser que dans les prochains jours. Parallèlement, une enquête judiciaire est décidée. Selon Le Figaro, la Direction générale de la sécurité intérieure (DGSI), la Sous-direction antiterroriste et les cyber-policiers de la Direction centrale de la police judiciaire sont mis à contribution dans l’enquête confiée à la section antiterroriste du Parquet de Paris. La ministre de la Culture et de la Communication Fleur Pellerin a estimé qu'"on ne peut pas exclure « que des attaques similaires puissent à nouveau se produire, qu'elles soient d'ores et déjà planifiées".

Au plan technique, certains acteurs connus sur le marché de la cybersécurité communiquent via leurs experts et chercheurs.

L'éditeur Bluecoat apporte en conclusion et avec une certaine franchise à son dernier communiqué de presse (extrait ci-dessous) cette phrase qui en dit long sur les rapports qu'entretiennent les fournisseurs avec leurs clients:

" L’attaque de TV5 Monde, tout comme l’attaque Sony, prouve que n’importe quelle entité sur internet est à présent une cible. Tous les conflits portent maintenant la probabilité d’une cyber dimension, car ces attaques sont faciles, peu coûteuses et relativement sans risque. Malheureusement, il ne semble pas y avoir de solution miracle pour cette situation. Les systèmes d’ordinateurs modernes sont tellement interconnectés et complexes qu’il y a toujours une opportunité de méfait si vous êtes persévérant, et vous n’avez même pas besoin de l’être tout le temps. Si le pirate ne peut pas trouver immédiatement un moyen de rentrer, il y a toujours le facteur humain. Les humains sont malheureusement difficiles à corriger. Cependant, des personnes qualifiées peuvent faire la différence entre un gain et une perte. Cela peut paraitre étrange de la part d’un vendeur de boîtes, mais la sécurité ne sort pas d’une boîte. Elle vient des gens qui utilisent les boîtes."  

Retour sur le scénario mis en place par les cyber-attaquants ou l'ensemble des pièces d'un cyber-puzzle sont en place : ingenierie sociale, guerre médiatique et messages de propagande djihadiste, exploitation de vulnérabilités connues, vols de documents administratifs et cyber-chantage à la publication….

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

BONUS:  

 

Attribution: la piste russe ?  selon l'Express (10 juin 2015) 

 

http://www.lexpress.fr/actualite/medias/piratage-de-tv5-monde-la-piste-russe_1687673.html

Attribution: Qui  avec quel "outils" ?

L'éditeur Blue Coat confirme dans un communiqué de presse recu en fin de journée vendredi 10 avril la piste livrée par Breaking3Zero en précisant qu'il ne dispose pas "d’informations internes d’un membre de la chaîne"

Extrait du CP de Blue Coat relatant une note de Snorre Fagerland, chercheur au laboratoire de l'éditeur:

" Nous sommes parvenus à trouver un malware, qui n’est pas totalement identique, mais qui correspond à plusieurs indicateurs révélés par Breaking3Zero. Par exemple, des références aux alias JoHn.Dz et Najaf. Un échantillon de ce md5 hash est  2962c44ce678d6ca1246f5ead67d115a.

  

Jenxcus and Bladabindi

 Cet échantillon semble être un équivalent du virus (Visual Basic Script) worm KJ_W0rm, un dérivé de NJ_W0rm, ancien et particulièrement répandu. Ce malware est connu des antivirus sous le nom de VBS/Jenxcus. Puisqu’il dépend d’un script, le malware est très facile à modifier, ce qui a engendré un très grand nombre de modifications. Jenxcus apparait souvent en compagnie d’un autre malware appelé Bladabindi ou NJ_Rat. Contrairement à Jenxcus, Bladabindi n’est pas un script, mais un exécutable Windows, écrit en .NET. Il possède d’autres caractéristiques et peut, par exemple, prendre des captures d’écran, dérober des identifiants en ligne, mais aussi télécharger et installer d’autres codes malicieux.

 Bladabindi peut être créé et configuré en utilisant un outil de création disponible publiquement, rendant ainsi très simple la production de nouvelles versions. Cet outil s’est donc beaucoup répandu, car il est facile à utiliser clandestinement. Bladabindi fait donc aujourd’hui parti des familles de malwares les plus courantes, surtout dans le Moyen-Orient. Aussi, il est devenu tellement fréquent que Microsoft a décidé de prendre des mesures offensives contre lui. Cela a donné lieu à une destruction quelque peu controversée du botnet en juin 2014. Les documents juridiques déposés ont alors identifié les auteurs du clandestin Bladabindi et du worm Jenxcus comme étant Naser Al Mutairi (Koweit), and Mohamed Benabdellah (Algérie). Mutairi aurait utilisé le virus en ligne njq8, et se trouve être probablement la personne mentionnée dans la section Crédits de l’échantillon malware « Najaf ».

(Ce post est disponible en ligne sur le site de Blue Coat : bluecoat.com/security-blog/2015-04-09/visual-basic-script-malware-reportedly-used-tv5-monde-intrusion )

 L'acces complet à cet article est réservé à nos abonnés:

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires