On en sait aujourd’hui un peu plus sur l’attaque de la semaine dernière contre TV5 Monde.
Les informations émanent de différentes sources.
http://www.lefigaro.fr/secteur/high-tech/2015/04/14/01007-20150414ARTFIG00121-l-attaque-de-tv5-monde-a-debute-par-du-phishing.php
L’attaque de TV5Monde a débuté par du « phishing »
L’intrusion a débuté dès le mois de janvier, à cause d’un mail vérolé envoyé à tous les employés de la chaîne de télévision.
http://www.lemonde.fr/pixels/article/2015/04/13/tv5-monde-les-pirates-ont-infiltre-la-chaine-plusieurs-semaines-avant-l-attaque_4614813_4408996.html
TV5 Monde : les pirates ont infiltré la chaîne plusieurs semaines avant l’attaque
Le Monde.fr | 13.04.2015 à 12h38 | Par Martin Untersinger
Quelques jours après l’attaque informatique qui a interrompu les programmes de la chaîne française TV5 Monde, les enquêteurs commencent à avoir une idée plus précise du degré de sophistication de l’attaque.
Les assaillants avaient pris soin de repérer le terrain : cela faisait plusieurs semaines qu’ils étaient présents dans le réseau de la chaîne, selon une source proche de l’enquête. Un laps de temps mis à profit pour repérer, parmi les milliers d’ordinateurs du réseau de la chaîne, les équipements indispensables à la diffusion, qu’ils sont parvenus, dans la nuit du mercredi 8 au jeudi 9 avril, à mettre hors-ligne.
Lire : TV5 Monde, un piratage d’ampleur et de nombreuses zones d’ombre
Les enquêteurs sont aujourd’hui convaincus d’être face à un groupe de pirates de bon niveau, peut-être d’une dizaine de personnes. Une information confirmée après la découverte des dégâts causés par les pirates : certains serveurs étaient toujours impossible à démarrer plusieurs jours après l’attaque.
Par ailleurs, la connaissance du fonctionnement de matériels informatiques très spécifiques à la télévision laisse peu de doute quant à la détermination et au niveau technique des pirates. Rien à voir, donc, avec la vague d’attaques de faible niveau technique qui avait touché de nombreuses petites communes peu après les attentats de la rédaction de Charlie Hebdo et de la porte de Vincennes.
La question du niveau de protection offert par le réseau informatique de la chaîne a été posée dès le lendemain de l’attaque. Selon les enquêteurs, ce dernier, loin d’être impénétrable, offrait une protection qui ne dépareillait pas pour une entreprise. « Le réseau de TV5 Monde était bien géré, par des gens sérieux, mais était fragile : une fois qu’on est rentré, il n’y avait pas de portes étanches », confie cette même source.
Enfin, le lien entre les assaillants et l’Etat islamique est considéré, à ce stade, avec beaucoup de circonspection par les enquêteurs. Le « cyber caliphat », dont se sont réclamés les pirates à l’origine de l’attaque contre TV5 Monde, semble davantage être une mouvance qu’un groupe fixe.
Lire : TV5 Monde : les pirates n’ont pas diffusé de documents confidentiels de l’armée
Treize agents de l’Agence nationale de la sécurité des systèmes d’information (Anssi) ont été dépêchés dans les locaux de la chaîne dès jeudi. Après avoir préservé les traces laissées par les pirates, le temps est désormais à l’analyse car ils craignent que d’autres médias soient menacés par des attaques similaires.
L’agence va donc communiquer aux équipes techniques des médias le résultat de leur enquête afin de prévenir de futures attaques.
Martin Untersinger
Journaliste au Monde
http://www.lejdd.fr/Medias/L-attaque-contre-TV5-Monde-une-alerte-727536
12 avril 2015
L’attaque contre TV5 Monde, une alerte
Pour l’ancien responsable de la lutte contre la cybercriminalité, Christian Aghroum, « la question n’est pas de savoir si cela va se reproduire mais quand… ».
Essayer de décortiquer l’attaque. Exploiter les messages diffusés… » Loin des spéculations qui pullulent sur le Net, les geeks de la police judiciaire, l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, sous-direction antiterroriste) et les spécialistes de la Direction générale du renseignement intérieur (DGSI) ont démarré leur enquête sur le cyberpiratage qui a plongé dans le noir l’antenne de TV5Monde dans la nuit de mercredi à jeudi.
Un groupe se réclamant de Daech a piraté la chaîne vers 22 heures. Un bandeau noir barré de la mention « Je suis ISIS » – accronyme anglais de Daech – est apparu sur les réseaux sociaux. L’attaque informatique a obligé les dirigeants de la chaîne à couper leurs serveurs.
Lire aussi : TV5 Monde : des cyberattaques similaires ne sont pas exclues
Une enquête a été ouverte jeudi par le parquet de Paris pour « accès, maintien frauduleux et entrave au fonctionnement d’un système de traitement automatique de données », ainsi que pour « association de malfaiteurs en relation avec une entreprise terroriste ». Sur ce dernier point, plusieurs sources judiciaires se montraient prudentes – « On ne sait pas trop à qui on a affaire… » –, relativisant ainsi les premières déclarations du ministre de l’Intérieur ciblant des « terroristes déterminés ».
«Il existera toujours une microfaille dans laquelle des hackers vont tenter de s’infiltrer»
« L’enquête déterminera qui se cache derrière cette attaque mais pour moi, c’est clairement du cyberterrorisme. » Consultant en cybersécurité basé aujourd’hui en Suisse et ancien patron de l’OCLCTIC, Christian Aghroum voit dans l’attaque de TV5 « la preuve qu’une organisation de hackers agissant dans le cadre ou se réclamant d’une nébuleuse terroriste est capable d’empêcher une chaîne de télévision de diffuser ses programmes en s’assurant un retentissement médiatique immédiat. » Une attaque qui ne l’a pas surpris, au contraire. « Je suis même surpris qu’on soit surpris. Cela peut arriver à tout le monde. Même si l’on est extrêmement bien protégé, il existera toujours une microfaille dans laquelle des hackers vont tenter de s’infiltrer. Cette attaque marque une évolution en France : c’est la première attaque frontale sur une cible aussi exposée avec une médiatisation quasi automatique. Mais la réaction des pouvoirs publics a été satisfaisante. C’est la preuve que l’on a su s’armer et répondre présent. »
Lire aussi : Cyberattaque contre TV5 : « Un cap franchi par les terroristes »
On sait désormais que la chaîne TV5 avait été prévenue quinze jours avant l’attaque par l’Anssi (Agence nationale de sécurité des systèmes d’information) qu’un de ses serveurs informatiques n’était pas suffisamment sécurisé et qu’il risquait d’être utilisé de manière frauduleuse. « Une attaque peut commencer par l’ouverture d’un simple mail infecté par un employé, confirme Christian Aghroum. Ça ne suffit pas mais cela peut être utile pour préparer la véritable attaque. Parce qu’une attaque de cette ampleur se prépare un minimum. Avant l’acte finale, mercredi soir, le clic de souris, il faut choisir la cible et trouver la faille. On peut penser qu’ils ont visé plusieurs médias avant de porter leur choix sur TV5 parce qu’ils ont su identifier une ou plusieurs failles. »
«A TV5, les hackers ont voulu s’assurer le résultat le plus optimal»
Selon les premiers éléments de l’enquête, il semble que l’attaque décisive de mercredi soir se soit jouée en deux temps. Le premier visant la direction de la production de la chaîne. Le second atteignant la direction des réseaux sociaux. Un scénario cohérent, selon le consultant : « Je prendrai l’exemple d’un coup d’État. Les putschistes vont s’emparer des studios de radio et de télévision mais aussi des émetteurs de transmission. A TV5, les hackers ont voulu s’assurer le résultat le plus optimal. Un, en bloquant les canaux de production et de diffusion. Deux, en bloquant les réseaux sociaux pour empêcher la chaîne de communiquer, de s’expliquer. En résumé : non seulement je prends la main mais en plus je parle à leur place! »
Quel enseignement faut-il tirer de cet épisode de cybercriminalité à la mode djihadiste? « C’est l’occasion pour les entreprises de communication mais aussi pour tout un chacun de monter d’un cran l’outil de protection. Parce que la question n’est pas de savoir si cela va se reproduire mais quand… »
Dans la nuit de mercredi à jeudi, TV5 Monde, le deuxième plus grand réseau de télévision de la planète était hacké par un groupe de pirates affichant les signatures du cybercaliphate.
Un groupe islamiste qui, s’il n’est pas officiellement rattaché à Daech, se réclame de sa mouvance à chacune de ses attaques.
Depuis janvier, il a visé avec succès les comptes des médias sociaux du centre de commandement de l’État major Américain (Centcom), le feed Twitter de Newsweek, des bases de données fédérales aux États-unis, une chaîne de télévision au Maryland ou encore le site d’un quotidien du Nouveau-Mexique.
AVANT TV5, DES MAIRIES
L’attaque a débuté vers 21h45. Quelques minutes plus tard, informé par une abonnée à notre compte Twitter, Breaking3zero constatait l’ampleur de l’opération.
Un à un, les feeds Twitter de chaque chaîne de TV5 tombaient sous le contrôle des pirates.
La bannière du groupe y était installée et le fil proposait des messages de propagande pro État islamique.Des photos de passeports présentés comme ceux de militaires français étaient postés.
Des documents qui semblent ne pas avoir de rapport avec le Ministère de la Défense, mais plutôt avec des vols de données effectués sur des serveurs de différentes municipalités françaises.
Ainsi, l’attaque d’hier s’est accompagné d’un “dump” de plus de 300 documents volés par le cybercaliphate il y a quelques jours dans les systèmes informatiques de mairies françaises (un des documents porte un tampon du 20 mars 2015).
Parmi elles Dax, Fresnes sur Escaut, Fontainebleau, Sèvres, Bayonne, Oullins, Valenciennes…
La collection de documents est éclectique. Des cv, des devis, des lettres d’avocats, des demandes de subventions, des photos personnelles et même des relevés d’identités bancaires.
RAPIDITÉ
Après Twitter, les pirates ont obtenu le contrôle des comptes Facebook puis Youtube de TV5 afin de s’emparer du site web du diffuseur.
Mais le plus spectaculaire et – le plus inquiétant- restait à venir. Quelques minutes plus tard, la chaîne n’était plus en mesure d’émettre vers les 260 millions de foyers qui la reçoivent.
Une attaque sans précédent.
Hier matin, tout juste quelques après l’attaque, tandis que les programmes de TV5 n’étaient toujours pas rétablis, Breaking3zero vous a livré des premiers éléments de réponse.
Notre rapidité a étonné certains experts.
Au delà d’avoir été prévenu avant 22 heures de l’attaque en cours, nous sortions d’une longue enquête sur… les cyberpirates qui avaient attaqué la France au lendemain des attentats de Charlie Hebdo et Hyper Cacher. 19 000 sites atteints, des bases de données pillées…
Nous étions donc en terrain connu.
Nos conclusions se basent sur deux éléments : notre investigation et le travail de notre source dont nous avons suivi pas à pas, clic à clic, la progression dans sa chasse aux pirates de TV5.
CONFIRMATIONS
Aujourd’hui non seulement nous les maintenons mais constatons qu’elles sont confirmées par le ministre de l’Intérieur et deux cadres essentiels à la présence informatique de TV5.
Ainsi, dès hier matin, nous avions annoncé qu’il s’agissait d’une cyber attaque accomplie par des pirates se réclamant du groupe islamiste Daech. Et non les exploits de pirates amateurs ni d’adolescents farceurs habitués à s’attaquer aux plateformes de jeux vidéo en ligne.
Hier soir, Bernard Cazeneuve déclarait que « beaucoup d’éléments convergent pour que la présomption d’un acte terroriste soit bien la cause de cette attaque »
Second point crucial, dans notre article d’hier, nous affirmions que la cible de l’attaque était le serveur de transmission de TV5 Monde (la centrale de dispatching dans le jargon du diffuseur).
Si certains experts en doutaient, mettant en avant un prétendu niveau de sophistication trop élevé, hier après-midi, sur iTélé, Hélène Zemmour, directrice que numérique sur TV5 confirmait que c’était bien le “serveur de transmission qui avait été attaqué”.
Enfin – et c’est un élément essentiel – hier, Breaking3zero révélait que TV5 avait été victime d’une attaque complexe dans sa préparation, pensée et préparée pendant des semaines voire des mois. Nous affirmions que le virus introduit dans le serveur du diffuseur avait permis aux pirates d’interrompre la diffusion des programmes.
Une conclusion qui, si elle n’était pas partagée par le quotidien Le Monde (“La chaîne a du interrompre ses programmes et rendre son site internet inaccessible pour barrer la route aux pirates”) a été confirmé hier par Jean-Pierre Vérines, directeur des systèmes d’informations de TV5.
Ainsi, dans un article publié par le site Arrêt sur images, il déclarait : “Les pirates ont coupé les deux services qui gèrent la diffusion. Deux machines parmi 1500. Ils savaient exactement ce qu’ils faisaient.” Pour Vérines, l’homme au coeur du système informatique de TV5Monde, “les pirates ont observé pendant plusieurs jours voire semaines le fonctionnement du réseau «
Trois points essentiels mis en avant par notre enquête.
Qui partait, rappelons le, du serveur de TV5, pour suivre la trace des pirates responsables de l’attaque.
A ce sujet, nous le révélions hier, nous avons localisé l’un d’eux en Irak, où il combat avec Daech.
Dans la nuit de mercredi à jeudi, à mesure que l’attaque contre TV5 progressait, “Khattab”, – c’est son pseudo – postait sur son compte Twitter -suivi par d’autres membres de Daech- les documents de revendications du cybercaliphate.
A présent, ce compte n’existe plus. Fermé par l’utilisateur ou supprimé par Twitter.
PILLAGE D’EMAILS
Aujourd’hui, alors qu’il est établi que TV5 a subi une attaque de cyber terrorisme visant la prise de contrôle du serveur de diffusion de la chaîne, seul le diffuseur peut éclaircir quelques questions essentielles.
Comme celle, par exemple, de la connaissance de l’architecture de leur réseau par les hackers du cybercaliphate. Un réseau récent et “ultra protégé” selon Hélène Zemmour.
Au delà de “l’observation” évoquée par Vérinès, il faudra élucider comment les pirates ont obtenu les informations leur ayant permis d’atteindre en moins de 30 minutes le coeur névralgique de la chaîne.
Il y a un autre point qui nécessite une réponse. Plus rapide celle là.
Dans leurs attaques précédentes, le cybercaliphate ne s’est pas contenté de “défacer” la page d’accueil du site de sa victime.
Non, les pirates ont aussi systématiquement pillé la base de données du site.
En clair, ils ont récupéré l’ensemble des adresses électroniques et des mots de passe qui y figuraient (certes ces mots de passe sont cryptés mais casser cette protection est très aisé).
Dans le cas de TV5 Monde, cela voudrait dire que les pirates auraient pu récupérer les adresses électroniques de l’ensemble des journalistes et autres employés de la chaîne.
Mais aussi probablement celles d’abonnés aux services offerts par TV5 sur le web.
Bien entendu, tout cela n’est qu’une supposition, basée sur le mode opératoire des pirates.
Mais si elle est avérée, cela signifie que les pirates du cybercaliphate auraient la possibilité d’accéder aux comptes emails de milliers de personnes. Et de les utiliser ensuite pour prendre le contrôle de leurs ordinateurs. Ou de pénétrer à nouveau un réseau.
De notre côté, nous avons sollicité TV5Monde afin de savoir si les pirates de l’attaque de mercredi soir se sont aussi emparés de leur base de données. Nous n’avons pas eu de réponse.
http://www.breaking3zero.com/tv5-second-virus-et-donnees-confidentielles/
TV5 : Second virus et données confidentielles
Hier, Breaking3zero revenait sur le mode opératoire habituel des cyber jihadistes qui ont attaqués TV5 Monde dans la nuit de mercredi à jeudi :
SECOND VIRUS
Ce qui était une supposition hier, prend un nouveau sens aujourd’hui.
Selon une de nos sources, au delà de l’attaque contre le serveur de transmission de programme, les pirates avaient bien installé un second virus sur les serveurs de TV5 Monde.
Un virus permettant de récupérer les éléments contenus dans la base de données.
De style web shell au format php, il permet aux pirates d’effectuer des commandes à distance.
Comme celle de la recherche des fichiers de mots de passe et plus généralement tout ce qui touche à l’activité du serveur.
Une information qui, si elle se confirme, donne un sens nouveau à une autre.
DESTRUCTION
Ainsi, depuis l’attaque, TV5 Monde ne dispose plus de messagerie gérant ses courriers électroniques. Elle a été détruite par les pirates, sans possibilité d’être rétablie.
Ce qui pourrait donc bien signifier que les cyber jihadistes ont eu la possibilité de récupérer les adresses électroniques et les mots de passe de l’ensemble des journalistes et des autres employés de la chaîne.
Mais aussi probablement ceux des abonnés aux services offerts sur le web par TV5.
Si ce pillage a eu lieu, il est impossible d’en évaluer l’étendue.
De savoir par exemple s’il a touché le contenu des boites à lettres électroniques des journalistes.
Des emails qui, parfois, contiennent des informations confidentielles liées à la gestion des centaines de personnalités invitées sur les plateaux de la chaine.
Comme des adresses de domiciles et des numéros de téléphones. Qui appartiennent aussi bien à un sénateur, un acteur, un écrivain ou un ministre.
Vendredi matin, Breaking3zero a contacté TV5 afin de savoir si les cyberpirates se sont aussi emparés de leur base de données. Nous n’avons pas eu de réponse.
http://www.breaking3zero.com/tv5-monde-histoire-dun-virus-et-localisation-des-pirates/
TV5 Monde : histoire d’un virus et localisation des pirates
Dans la nuit de mercredi à jeudi, le groupe TV5 Monde était victime d’une cyber attaque unique en son genre.
En quelques minutes, la présence de la chaîne sur le net, de Facebook à Twitter en passant par son site web, était éradiquée. Plus spectaculaire et plus effrayant encore, les onze stations du diffuseur étaient remplacées par un écran noir. Une interruption unique dans notre histoire qui allait durer plus de 20 heures.
Quelques heures après l’attaque, Breaking3zero vous a proposé les premières révélations du mode opératoire des pirates, leurs origines et leurs motivations.
Si certaines de nos conclusions ont été alors mises en doute, elles ont été depuis confirmées.
Hier, nous vous révélions comment les cyber jihadistes se sont très certainement emparés des données confidentielles du serveur de messagerie électronique du groupe.
Aujourd’hui, documents à l’appui, Breaking3zero a souhaité revenir sur l’histoire du virus qui a terrassé le deuxième diffuseur mondial. Car en son sein reposent les indices nécéssaires à l’expression de la vérité.
SOURCE
En janvier dernier, suite à l’attaque contre Charlie Hebdo et Hyper Cacher, la France était victime d’un spectaculaire épisode de la cyber guerre.
Plus de 19 000 sites étaient piratés, des bases de données pillées. Breaking3zero avait immédiatement débuté une longue et difficile enquête dans le milieu très secret du cyber jihadisme.
Au cours de ce travail, au delà de nos échanges avec les pirates eux-mêmes, nous avons réussi à approcher différentes sources. Qui, dans l’anonymat le plus complet, sont à la pointe du combat contre les pirates pro-islamistes. Certains affichent une appartenance au mouvement Anonymous, d’autres travaillent de manière indépendante.
Alors que l’attaque contre TV5 Monde était encore en cours, une de nos sources est partie à la traque des pirates.
Grâce à cette immersion, Breaking3zero a pu expliquer très vite que, après prise de contrôle d’une machine via une procédure de phishing, le serveur de transmission était la véritable cible de l’opération.
Et qu’un virus avait été utilisé par les cyber jihadistes pour arriver à leur but.
Un virus qui était encore présent sur les serveurs de la chaîne lors du passage de notre source, à la recherche d’éventuelles traces laissées par les pirates.
ISIS
Sens de l’humour ou sens de la provocation, le virus utilisé par les pirates de TV5 se nomme isis. Comme le nom utilisé par les Américains pour désigner daech.
“isis” est un ver, un malware au format Visual Basic Script (.vbs) qui, introduit dans un PC du réseau de TV5, a continué de croître jusqu’à placer les pirates dans la position de contrôler le processus de diffusion de la chaîne.
“isis” est une version modifiée de njRAT, un virus conçu en novembre 2012 et largement diffusé depuis juin 2013.
Selon Symantec, depuis sa création, sous une forme ou une autre, njRAT a infecté au moins 20 000 machines à travers le monde.
NjRAT – et donc isis – a des capacités étendues.
Il permet de prendre à distance le contrôle de la machine infectée et là, par exemple, de récupérer des mots de passe (c’est ainsi que les hackers ont réussi sans aucune difficulté à pirater les comptes Twitter, Facebook et YouTube de TV5).
Les capacités de njRAT sont telles que, toujours selon Symantec, il est devenu le virus de prédilection des cybercriminels lorsqu’ils s’attaquent à des serveurs gouvernementaux.
PATERNITÉ
NjRAT est donc le virus de base qui a servi à la création de isis, celui qui a attaqué TV5.
À l’origine de njRAT, deux programmeurs : NjQ8 et security.najaf.
Deux pseudos que l’on retrouve dans le script du virus qui a infecté TV5 et que nous publions dans son intégralité pour la première fois aujourd’hui à la fin de cet article.
Derrière NjQ8 se cache un programmeur du Koweït. Security.najaf est, lui, Irakien.
Le virus qui a servi de base à celui qui a attaqué TV5 est donc né au Moyen-Orient.
Où il est très vite devenu l’arme de choix des cyber jihadistes. Selon Symantec, au moins 80 % des utilisateurs de njRAT se trouvent en Irak, Algérie, Arabie Saoudite, Libye, Palestine, Tunisie et Maroc.
Et sans surprise, sous des formes modifiées, njRAT est utilisé par les pirates de l’État islamique. Ainsi un relevé des IP utilisées dans de récentes attaques pointe vers l’Irak et le domaine islamstate.no-ip.biz (comme démontré ici )
LOCALISATION
Pour résumer, l’attaque de TV5, orchestrée par des membres du cybercaliphate a été effectuée avec un virus nommé “isis”, conçu au Moyen-Orient, utilisé très majoritairement par des cyber jihadistes dont certains directement rattachés à daech.
Si cela crée un solide faisceau de suspicion, cela n’est pas suffisant pour établir une preuve.
Sur internet, et plus particulièrement dans l’univers de la cyber criminalité, il est très aisé de camoufler son identité et de se faire passer pour un autre.
Mais, comme nous l’avons publié dès le lendemain de l’attaque, nous estimons qu’un PC installé en Algérie (d’où, selon nos informations, semble aujourd’hui “émettre” security.najaf, l’un des pères du virus) et un autre en Irak (son propriétaire Khettab, un soldat de daech a ainsi “live-twitté” l’attaque contre TV5 avant de voir son compte supprimé) ont participé à l’opération.
Participé, car ils ne sont pas à l’origine de l’attaque.
Afin de rester le moins de temps possible sur les serveurs de TV5 au risque de se faire détecter, les pirates ont travaillé en équipe.
L’opération a vraisemblablement duré une quinzaine de minutes.
Les complices du hacker principal se sont retrouvés en charge de pirater les comptes des réseaux sociaux et les sites web du diffuseur. Pendant ce temps, le cyber jihadiste en chef partait à l’attaque du centre névralgique de TV5 Monde : son serveur de transmission.
Aujourd’hui, Breakig3zero est en mesure de révéler d’où l’attaque contre TV5 a débuté et donc de dévoiler la localisation du hacker principal.
Dans le script du virus “isis”, figure une adresse DNS.
Pour simplifier, il s’agit de la passerelle empruntée par le pirate pour attaquer sa victime. Une liaison qui peut mener à l’adresse IP de l’ordinateur utilisé et donc de sa localisation.
Dans le script de “isis”, l’adresse DNS est la suivante : “isis2012.ddns.net”
Une de nos sources a pu remonter sa piste.
Derrière l’adresse DNS se trouve une adresse proxy localisée en Roumanie. Pour faire simple, un proxy est un moyen utilisé pour dissimuler la réelle localisation d’un utilisateur. Une garantie d’anonymat. Ou presque
Derrière ce premier niveau de protection, un second étage d’anonymat via un nouveau proxy renvoyant en Asie.
Mais il n’y en a pas de troisième.
Derrière cette dernière barricade, la véritable adresse IP de l’ordinateur à l’origine de l’attaque contre TV5 Monde.
Sa localisation ? Établie avec précision à 55 kilomètres près, elle pointe vers une zone tribale d’Arabie Saoudite, a proximité de la frontière avec l’Irak.
“isis”, un ver basé sur un virus crée au Moyen Orient, utilisé par des cyber jihadistes, a bel et bien été envoyé en mission destructrice contre TV5 depuis une zone sensible de la guerre qui oppose la France à l’État islamique.
Confirmant que le cadre de la cyber guerre est bien plus complexe et vaste que l’on croit. Et où les rapports de force sont loin d’être clairs.
COMPLEMENT EXCLUSIF : LE SCRIPT VBS DE ISIS, LE VIRUS QUI A ATTAQUÉ TV5
Les informations émanent de différentes sources.
http://www.lefigaro.fr/secteur/high-tech/2015/04/14/01007-20150414ARTFIG00121-l-attaque-de-tv5-monde-a-debute-par-du-phishing.php
L’attaque de TV5Monde a débuté par du « phishing »
-
- Par lefigaro.fr
- Mis à jour le 14/04/2015 à 14:37
- Publié le 14/04/2015 à 11:30
L’intrusion a débuté dès le mois de janvier, à cause d’un mail vérolé envoyé à tous les employés de la chaîne de télévision.
La cyberattaque djihadiste dont a été victime TV5Monde
a été enclenchée dès fin janvier, par l’envoi de mails aux journalistes
de la chaîne internationale francophone. Dans la nuit du 8 au 9 avril,
des pirates se revendiquant de l’organisation de l’Etat islamique ont
pris le contrôle des comptes Facebook et Twitter et du site de TV5Monde,
en y affichant des messages de propagande djihadiste, puis bloqué tout
son système informatique. La chaîne a dû interrompre sa diffusion
plusieurs heures.
«Cette attaque est à la fois simple dans son déclenchement», avec la technique du phishing qui a permis «de faire pénétrer le ver dans le fruit», et «très sophistiquée dans son déroulé avec un logiciel compliqué», a expliqué une source proche du dossier. Ce qui a permis son déclenchement, c’est «comme toujours, une faille humaine au début». Il n’est en l’état des investigations pas permis de déterminer l’origine géographique de l’attaque, ni le nombre de hackers ayant permis de l’organiser, selon une autre source proche du dossier. Selon le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et l’Agence nationale des systèmes de sécurité des systèmes d’informations, cette attaque «sans précédent» a été préparée de longue date et de façon minutieuse.
(avec AFP)
Une faille humaine
L’attaque avait néanmoins commencé bien plus tôt, avec un mail envoyé fin janvier à l’ensemble des journalistes de la chaîne, selon la technique classique du «phishing» («hameçonnage» en français). Cette dernière consiste en l’envoi d’un mail vérolé à un employé de l’entreprise visée. Le destinataire est invité à télécharger une pièce jointe ou à cliquer sur un lien, provoquant l’installation d’un logiciel malveillant. Trois employés de TV5Monde ont répondu au mail vérolé, permettant aux hackers de pénétrer dans le système de la chaîne par des logiciels de type «Cheval de Troie». Trois semaines avant l’attaque, en mars, la deuxième phase de l’offensive était lancée, avec la contamination de plusieurs ordinateurs de TV5Monde par un virus. Puis le 9 avril, l’offensive proprement dite a débuté, avec l’attaque des serveurs. Pendant plusieurs heures, les serveurs sont attaqués, puis les réseaux sociaux.«Cette attaque est à la fois simple dans son déclenchement», avec la technique du phishing qui a permis «de faire pénétrer le ver dans le fruit», et «très sophistiquée dans son déroulé avec un logiciel compliqué», a expliqué une source proche du dossier. Ce qui a permis son déclenchement, c’est «comme toujours, une faille humaine au début». Il n’est en l’état des investigations pas permis de déterminer l’origine géographique de l’attaque, ni le nombre de hackers ayant permis de l’organiser, selon une autre source proche du dossier. Selon le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et l’Agence nationale des systèmes de sécurité des systèmes d’informations, cette attaque «sans précédent» a été préparée de longue date et de façon minutieuse.
(avec AFP)
La rédaction vous conseille :
http://www.lemonde.fr/pixels/article/2015/04/13/tv5-monde-les-pirates-ont-infiltre-la-chaine-plusieurs-semaines-avant-l-attaque_4614813_4408996.html
TV5 Monde : les pirates ont infiltré la chaîne plusieurs semaines avant l’attaque
Le Monde.fr | 13.04.2015 à 12h38 | Par Martin Untersinger
Quelques jours après l’attaque informatique qui a interrompu les programmes de la chaîne française TV5 Monde, les enquêteurs commencent à avoir une idée plus précise du degré de sophistication de l’attaque.
Les assaillants avaient pris soin de repérer le terrain : cela faisait plusieurs semaines qu’ils étaient présents dans le réseau de la chaîne, selon une source proche de l’enquête. Un laps de temps mis à profit pour repérer, parmi les milliers d’ordinateurs du réseau de la chaîne, les équipements indispensables à la diffusion, qu’ils sont parvenus, dans la nuit du mercredi 8 au jeudi 9 avril, à mettre hors-ligne.
Lire : TV5 Monde, un piratage d’ampleur et de nombreuses zones d’ombre
Les enquêteurs sont aujourd’hui convaincus d’être face à un groupe de pirates de bon niveau, peut-être d’une dizaine de personnes. Une information confirmée après la découverte des dégâts causés par les pirates : certains serveurs étaient toujours impossible à démarrer plusieurs jours après l’attaque.
Par ailleurs, la connaissance du fonctionnement de matériels informatiques très spécifiques à la télévision laisse peu de doute quant à la détermination et au niveau technique des pirates. Rien à voir, donc, avec la vague d’attaques de faible niveau technique qui avait touché de nombreuses petites communes peu après les attentats de la rédaction de Charlie Hebdo et de la porte de Vincennes.
« Un réseau bien géré mais fragile »
La question du niveau de protection offert par le réseau informatique de la chaîne a été posée dès le lendemain de l’attaque. Selon les enquêteurs, ce dernier, loin d’être impénétrable, offrait une protection qui ne dépareillait pas pour une entreprise. « Le réseau de TV5 Monde était bien géré, par des gens sérieux, mais était fragile : une fois qu’on est rentré, il n’y avait pas de portes étanches », confie cette même source.
Enfin, le lien entre les assaillants et l’Etat islamique est considéré, à ce stade, avec beaucoup de circonspection par les enquêteurs. Le « cyber caliphat », dont se sont réclamés les pirates à l’origine de l’attaque contre TV5 Monde, semble davantage être une mouvance qu’un groupe fixe.
Lire : TV5 Monde : les pirates n’ont pas diffusé de documents confidentiels de l’armée
Treize agents de l’Agence nationale de la sécurité des systèmes d’information (Anssi) ont été dépêchés dans les locaux de la chaîne dès jeudi. Après avoir préservé les traces laissées par les pirates, le temps est désormais à l’analyse car ils craignent que d’autres médias soient menacés par des attaques similaires.
L’agence va donc communiquer aux équipes techniques des médias le résultat de leur enquête afin de prévenir de futures attaques.
Martin Untersinger
Journaliste au Monde
http://www.lejdd.fr/Medias/L-attaque-contre-TV5-Monde-une-alerte-727536
12 avril 2015
L’attaque contre TV5 Monde, une alerte
Pour l’ancien responsable de la lutte contre la cybercriminalité, Christian Aghroum, « la question n’est pas de savoir si cela va se reproduire mais quand… ».
Essayer de décortiquer l’attaque. Exploiter les messages diffusés… » Loin des spéculations qui pullulent sur le Net, les geeks de la police judiciaire, l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, sous-direction antiterroriste) et les spécialistes de la Direction générale du renseignement intérieur (DGSI) ont démarré leur enquête sur le cyberpiratage qui a plongé dans le noir l’antenne de TV5Monde dans la nuit de mercredi à jeudi.
Un groupe se réclamant de Daech a piraté la chaîne vers 22 heures. Un bandeau noir barré de la mention « Je suis ISIS » – accronyme anglais de Daech – est apparu sur les réseaux sociaux. L’attaque informatique a obligé les dirigeants de la chaîne à couper leurs serveurs.
Lire aussi : TV5 Monde : des cyberattaques similaires ne sont pas exclues
Une enquête a été ouverte jeudi par le parquet de Paris pour « accès, maintien frauduleux et entrave au fonctionnement d’un système de traitement automatique de données », ainsi que pour « association de malfaiteurs en relation avec une entreprise terroriste ». Sur ce dernier point, plusieurs sources judiciaires se montraient prudentes – « On ne sait pas trop à qui on a affaire… » –, relativisant ainsi les premières déclarations du ministre de l’Intérieur ciblant des « terroristes déterminés ».
« Il existera toujours une microfaille »
«Il existera toujours une microfaille dans laquelle des hackers vont tenter de s’infiltrer»
« L’enquête déterminera qui se cache derrière cette attaque mais pour moi, c’est clairement du cyberterrorisme. » Consultant en cybersécurité basé aujourd’hui en Suisse et ancien patron de l’OCLCTIC, Christian Aghroum voit dans l’attaque de TV5 « la preuve qu’une organisation de hackers agissant dans le cadre ou se réclamant d’une nébuleuse terroriste est capable d’empêcher une chaîne de télévision de diffuser ses programmes en s’assurant un retentissement médiatique immédiat. » Une attaque qui ne l’a pas surpris, au contraire. « Je suis même surpris qu’on soit surpris. Cela peut arriver à tout le monde. Même si l’on est extrêmement bien protégé, il existera toujours une microfaille dans laquelle des hackers vont tenter de s’infiltrer. Cette attaque marque une évolution en France : c’est la première attaque frontale sur une cible aussi exposée avec une médiatisation quasi automatique. Mais la réaction des pouvoirs publics a été satisfaisante. C’est la preuve que l’on a su s’armer et répondre présent. »
Lire aussi : Cyberattaque contre TV5 : « Un cap franchi par les terroristes »
On sait désormais que la chaîne TV5 avait été prévenue quinze jours avant l’attaque par l’Anssi (Agence nationale de sécurité des systèmes d’information) qu’un de ses serveurs informatiques n’était pas suffisamment sécurisé et qu’il risquait d’être utilisé de manière frauduleuse. « Une attaque peut commencer par l’ouverture d’un simple mail infecté par un employé, confirme Christian Aghroum. Ça ne suffit pas mais cela peut être utile pour préparer la véritable attaque. Parce qu’une attaque de cette ampleur se prépare un minimum. Avant l’acte finale, mercredi soir, le clic de souris, il faut choisir la cible et trouver la faille. On peut penser qu’ils ont visé plusieurs médias avant de porter leur choix sur TV5 parce qu’ils ont su identifier une ou plusieurs failles. »
« Je prends la main mais en plus je parle à leur place »
«A TV5, les hackers ont voulu s’assurer le résultat le plus optimal»
Selon les premiers éléments de l’enquête, il semble que l’attaque décisive de mercredi soir se soit jouée en deux temps. Le premier visant la direction de la production de la chaîne. Le second atteignant la direction des réseaux sociaux. Un scénario cohérent, selon le consultant : « Je prendrai l’exemple d’un coup d’État. Les putschistes vont s’emparer des studios de radio et de télévision mais aussi des émetteurs de transmission. A TV5, les hackers ont voulu s’assurer le résultat le plus optimal. Un, en bloquant les canaux de production et de diffusion. Deux, en bloquant les réseaux sociaux pour empêcher la chaîne de communiquer, de s’expliquer. En résumé : non seulement je prends la main mais en plus je parle à leur place! »
Quel enseignement faut-il tirer de cet épisode de cybercriminalité à la mode djihadiste? « C’est l’occasion pour les entreprises de communication mais aussi pour tout un chacun de monter d’un cran l’outil de protection. Parce que la question n’est pas de savoir si cela va se reproduire mais quand… »
Dans la nuit de mercredi à jeudi, TV5 Monde, le deuxième plus grand réseau de télévision de la planète était hacké par un groupe de pirates affichant les signatures du cybercaliphate.
Un groupe islamiste qui, s’il n’est pas officiellement rattaché à Daech, se réclame de sa mouvance à chacune de ses attaques.
Depuis janvier, il a visé avec succès les comptes des médias sociaux du centre de commandement de l’État major Américain (Centcom), le feed Twitter de Newsweek, des bases de données fédérales aux États-unis, une chaîne de télévision au Maryland ou encore le site d’un quotidien du Nouveau-Mexique.
AVANT TV5, DES MAIRIES
L’attaque a débuté vers 21h45. Quelques minutes plus tard, informé par une abonnée à notre compte Twitter, Breaking3zero constatait l’ampleur de l’opération.
Un à un, les feeds Twitter de chaque chaîne de TV5 tombaient sous le contrôle des pirates.
La bannière du groupe y était installée et le fil proposait des messages de propagande pro État islamique.Des photos de passeports présentés comme ceux de militaires français étaient postés.
Des documents qui semblent ne pas avoir de rapport avec le Ministère de la Défense, mais plutôt avec des vols de données effectués sur des serveurs de différentes municipalités françaises.
Ainsi, l’attaque d’hier s’est accompagné d’un “dump” de plus de 300 documents volés par le cybercaliphate il y a quelques jours dans les systèmes informatiques de mairies françaises (un des documents porte un tampon du 20 mars 2015).
Parmi elles Dax, Fresnes sur Escaut, Fontainebleau, Sèvres, Bayonne, Oullins, Valenciennes…
La collection de documents est éclectique. Des cv, des devis, des lettres d’avocats, des demandes de subventions, des photos personnelles et même des relevés d’identités bancaires.
RAPIDITÉ
Après Twitter, les pirates ont obtenu le contrôle des comptes Facebook puis Youtube de TV5 afin de s’emparer du site web du diffuseur.
Mais le plus spectaculaire et – le plus inquiétant- restait à venir. Quelques minutes plus tard, la chaîne n’était plus en mesure d’émettre vers les 260 millions de foyers qui la reçoivent.
Une attaque sans précédent.
Hier matin, tout juste quelques après l’attaque, tandis que les programmes de TV5 n’étaient toujours pas rétablis, Breaking3zero vous a livré des premiers éléments de réponse.
Notre rapidité a étonné certains experts.
Au delà d’avoir été prévenu avant 22 heures de l’attaque en cours, nous sortions d’une longue enquête sur… les cyberpirates qui avaient attaqué la France au lendemain des attentats de Charlie Hebdo et Hyper Cacher. 19 000 sites atteints, des bases de données pillées…
Nous étions donc en terrain connu.
Nos conclusions se basent sur deux éléments : notre investigation et le travail de notre source dont nous avons suivi pas à pas, clic à clic, la progression dans sa chasse aux pirates de TV5.
CONFIRMATIONS
Aujourd’hui non seulement nous les maintenons mais constatons qu’elles sont confirmées par le ministre de l’Intérieur et deux cadres essentiels à la présence informatique de TV5.
Ainsi, dès hier matin, nous avions annoncé qu’il s’agissait d’une cyber attaque accomplie par des pirates se réclamant du groupe islamiste Daech. Et non les exploits de pirates amateurs ni d’adolescents farceurs habitués à s’attaquer aux plateformes de jeux vidéo en ligne.
Hier soir, Bernard Cazeneuve déclarait que « beaucoup d’éléments convergent pour que la présomption d’un acte terroriste soit bien la cause de cette attaque »
Second point crucial, dans notre article d’hier, nous affirmions que la cible de l’attaque était le serveur de transmission de TV5 Monde (la centrale de dispatching dans le jargon du diffuseur).
Si certains experts en doutaient, mettant en avant un prétendu niveau de sophistication trop élevé, hier après-midi, sur iTélé, Hélène Zemmour, directrice que numérique sur TV5 confirmait que c’était bien le “serveur de transmission qui avait été attaqué”.
Enfin – et c’est un élément essentiel – hier, Breaking3zero révélait que TV5 avait été victime d’une attaque complexe dans sa préparation, pensée et préparée pendant des semaines voire des mois. Nous affirmions que le virus introduit dans le serveur du diffuseur avait permis aux pirates d’interrompre la diffusion des programmes.
Une conclusion qui, si elle n’était pas partagée par le quotidien Le Monde (“La chaîne a du interrompre ses programmes et rendre son site internet inaccessible pour barrer la route aux pirates”) a été confirmé hier par Jean-Pierre Vérines, directeur des systèmes d’informations de TV5.
Ainsi, dans un article publié par le site Arrêt sur images, il déclarait : “Les pirates ont coupé les deux services qui gèrent la diffusion. Deux machines parmi 1500. Ils savaient exactement ce qu’ils faisaient.” Pour Vérines, l’homme au coeur du système informatique de TV5Monde, “les pirates ont observé pendant plusieurs jours voire semaines le fonctionnement du réseau «
Trois points essentiels mis en avant par notre enquête.
Qui partait, rappelons le, du serveur de TV5, pour suivre la trace des pirates responsables de l’attaque.
A ce sujet, nous le révélions hier, nous avons localisé l’un d’eux en Irak, où il combat avec Daech.
Dans la nuit de mercredi à jeudi, à mesure que l’attaque contre TV5 progressait, “Khattab”, – c’est son pseudo – postait sur son compte Twitter -suivi par d’autres membres de Daech- les documents de revendications du cybercaliphate.
A présent, ce compte n’existe plus. Fermé par l’utilisateur ou supprimé par Twitter.
PILLAGE D’EMAILS
Aujourd’hui, alors qu’il est établi que TV5 a subi une attaque de cyber terrorisme visant la prise de contrôle du serveur de diffusion de la chaîne, seul le diffuseur peut éclaircir quelques questions essentielles.
Comme celle, par exemple, de la connaissance de l’architecture de leur réseau par les hackers du cybercaliphate. Un réseau récent et “ultra protégé” selon Hélène Zemmour.
Au delà de “l’observation” évoquée par Vérinès, il faudra élucider comment les pirates ont obtenu les informations leur ayant permis d’atteindre en moins de 30 minutes le coeur névralgique de la chaîne.
Il y a un autre point qui nécessite une réponse. Plus rapide celle là.
Dans leurs attaques précédentes, le cybercaliphate ne s’est pas contenté de “défacer” la page d’accueil du site de sa victime.
Non, les pirates ont aussi systématiquement pillé la base de données du site.
En clair, ils ont récupéré l’ensemble des adresses électroniques et des mots de passe qui y figuraient (certes ces mots de passe sont cryptés mais casser cette protection est très aisé).
Dans le cas de TV5 Monde, cela voudrait dire que les pirates auraient pu récupérer les adresses électroniques de l’ensemble des journalistes et autres employés de la chaîne.
Mais aussi probablement celles d’abonnés aux services offerts par TV5 sur le web.
Bien entendu, tout cela n’est qu’une supposition, basée sur le mode opératoire des pirates.
Mais si elle est avérée, cela signifie que les pirates du cybercaliphate auraient la possibilité d’accéder aux comptes emails de milliers de personnes. Et de les utiliser ensuite pour prendre le contrôle de leurs ordinateurs. Ou de pénétrer à nouveau un réseau.
De notre côté, nous avons sollicité TV5Monde afin de savoir si les pirates de l’attaque de mercredi soir se sont aussi emparés de leur base de données. Nous n’avons pas eu de réponse.
http://www.breaking3zero.com/tv5-second-virus-et-donnees-confidentielles/
TV5 : Second virus et données confidentielles
11 avr 2015
Hier, Breaking3zero revenait sur le mode opératoire habituel des cyber jihadistes qui ont attaqués TV5 Monde dans la nuit de mercredi à jeudi :
Dans leurs attaques précédentes, le cybercaliphate ne s’est pas contenté de “défacer” la page d’accueil du site de sa victime.
Non, les pirates ont aussi systématiquement pillé la base de données du site.
En clair, ils ont récupéré l’ensemble des adresses électroniques et des mots de passe qui y figuraient (certes ces mots de passe sont cryptés mais casser cette protection est très aisé).
SECOND VIRUS
Ce qui était une supposition hier, prend un nouveau sens aujourd’hui.
Selon une de nos sources, au delà de l’attaque contre le serveur de transmission de programme, les pirates avaient bien installé un second virus sur les serveurs de TV5 Monde.
Un virus permettant de récupérer les éléments contenus dans la base de données.
De style web shell au format php, il permet aux pirates d’effectuer des commandes à distance.
Comme celle de la recherche des fichiers de mots de passe et plus généralement tout ce qui touche à l’activité du serveur.
Une information qui, si elle se confirme, donne un sens nouveau à une autre.
DESTRUCTION
Ainsi, depuis l’attaque, TV5 Monde ne dispose plus de messagerie gérant ses courriers électroniques. Elle a été détruite par les pirates, sans possibilité d’être rétablie.
Ce qui pourrait donc bien signifier que les cyber jihadistes ont eu la possibilité de récupérer les adresses électroniques et les mots de passe de l’ensemble des journalistes et des autres employés de la chaîne.
Mais aussi probablement ceux des abonnés aux services offerts sur le web par TV5.
Si ce pillage a eu lieu, il est impossible d’en évaluer l’étendue.
De savoir par exemple s’il a touché le contenu des boites à lettres électroniques des journalistes.
Des emails qui, parfois, contiennent des informations confidentielles liées à la gestion des centaines de personnalités invitées sur les plateaux de la chaine.
Comme des adresses de domiciles et des numéros de téléphones. Qui appartiennent aussi bien à un sénateur, un acteur, un écrivain ou un ministre.
Vendredi matin, Breaking3zero a contacté TV5 afin de savoir si les cyberpirates se sont aussi emparés de leur base de données. Nous n’avons pas eu de réponse.
http://www.breaking3zero.com/tv5-monde-histoire-dun-virus-et-localisation-des-pirates/
TV5 Monde : histoire d’un virus et localisation des pirates
12 avr 2015
Dans la nuit de mercredi à jeudi, le groupe TV5 Monde était victime d’une cyber attaque unique en son genre.
En quelques minutes, la présence de la chaîne sur le net, de Facebook à Twitter en passant par son site web, était éradiquée. Plus spectaculaire et plus effrayant encore, les onze stations du diffuseur étaient remplacées par un écran noir. Une interruption unique dans notre histoire qui allait durer plus de 20 heures.
Quelques heures après l’attaque, Breaking3zero vous a proposé les premières révélations du mode opératoire des pirates, leurs origines et leurs motivations.
Si certaines de nos conclusions ont été alors mises en doute, elles ont été depuis confirmées.
Hier, nous vous révélions comment les cyber jihadistes se sont très certainement emparés des données confidentielles du serveur de messagerie électronique du groupe.
Aujourd’hui, documents à l’appui, Breaking3zero a souhaité revenir sur l’histoire du virus qui a terrassé le deuxième diffuseur mondial. Car en son sein reposent les indices nécéssaires à l’expression de la vérité.
SOURCE
En janvier dernier, suite à l’attaque contre Charlie Hebdo et Hyper Cacher, la France était victime d’un spectaculaire épisode de la cyber guerre.
Plus de 19 000 sites étaient piratés, des bases de données pillées. Breaking3zero avait immédiatement débuté une longue et difficile enquête dans le milieu très secret du cyber jihadisme.
Au cours de ce travail, au delà de nos échanges avec les pirates eux-mêmes, nous avons réussi à approcher différentes sources. Qui, dans l’anonymat le plus complet, sont à la pointe du combat contre les pirates pro-islamistes. Certains affichent une appartenance au mouvement Anonymous, d’autres travaillent de manière indépendante.
Alors que l’attaque contre TV5 Monde était encore en cours, une de nos sources est partie à la traque des pirates.
Grâce à cette immersion, Breaking3zero a pu expliquer très vite que, après prise de contrôle d’une machine via une procédure de phishing, le serveur de transmission était la véritable cible de l’opération.
Et qu’un virus avait été utilisé par les cyber jihadistes pour arriver à leur but.
Un virus qui était encore présent sur les serveurs de la chaîne lors du passage de notre source, à la recherche d’éventuelles traces laissées par les pirates.
ISIS
Sens de l’humour ou sens de la provocation, le virus utilisé par les pirates de TV5 se nomme isis. Comme le nom utilisé par les Américains pour désigner daech.
“isis” est un ver, un malware au format Visual Basic Script (.vbs) qui, introduit dans un PC du réseau de TV5, a continué de croître jusqu’à placer les pirates dans la position de contrôler le processus de diffusion de la chaîne.
“isis” est une version modifiée de njRAT, un virus conçu en novembre 2012 et largement diffusé depuis juin 2013.
Selon Symantec, depuis sa création, sous une forme ou une autre, njRAT a infecté au moins 20 000 machines à travers le monde.
NjRAT – et donc isis – a des capacités étendues.
Il permet de prendre à distance le contrôle de la machine infectée et là, par exemple, de récupérer des mots de passe (c’est ainsi que les hackers ont réussi sans aucune difficulté à pirater les comptes Twitter, Facebook et YouTube de TV5).
Les capacités de njRAT sont telles que, toujours selon Symantec, il est devenu le virus de prédilection des cybercriminels lorsqu’ils s’attaquent à des serveurs gouvernementaux.
PATERNITÉ
NjRAT est donc le virus de base qui a servi à la création de isis, celui qui a attaqué TV5.
À l’origine de njRAT, deux programmeurs : NjQ8 et security.najaf.
Deux pseudos que l’on retrouve dans le script du virus qui a infecté TV5 et que nous publions dans son intégralité pour la première fois aujourd’hui à la fin de cet article.
Derrière NjQ8 se cache un programmeur du Koweït. Security.najaf est, lui, Irakien.
Le virus qui a servi de base à celui qui a attaqué TV5 est donc né au Moyen-Orient.
Où il est très vite devenu l’arme de choix des cyber jihadistes. Selon Symantec, au moins 80 % des utilisateurs de njRAT se trouvent en Irak, Algérie, Arabie Saoudite, Libye, Palestine, Tunisie et Maroc.
Et sans surprise, sous des formes modifiées, njRAT est utilisé par les pirates de l’État islamique. Ainsi un relevé des IP utilisées dans de récentes attaques pointe vers l’Irak et le domaine islamstate.no-ip.biz (comme démontré ici )
LOCALISATION
Pour résumer, l’attaque de TV5, orchestrée par des membres du cybercaliphate a été effectuée avec un virus nommé “isis”, conçu au Moyen-Orient, utilisé très majoritairement par des cyber jihadistes dont certains directement rattachés à daech.
Si cela crée un solide faisceau de suspicion, cela n’est pas suffisant pour établir une preuve.
Sur internet, et plus particulièrement dans l’univers de la cyber criminalité, il est très aisé de camoufler son identité et de se faire passer pour un autre.
Mais, comme nous l’avons publié dès le lendemain de l’attaque, nous estimons qu’un PC installé en Algérie (d’où, selon nos informations, semble aujourd’hui “émettre” security.najaf, l’un des pères du virus) et un autre en Irak (son propriétaire Khettab, un soldat de daech a ainsi “live-twitté” l’attaque contre TV5 avant de voir son compte supprimé) ont participé à l’opération.
Participé, car ils ne sont pas à l’origine de l’attaque.
Afin de rester le moins de temps possible sur les serveurs de TV5 au risque de se faire détecter, les pirates ont travaillé en équipe.
L’opération a vraisemblablement duré une quinzaine de minutes.
Les complices du hacker principal se sont retrouvés en charge de pirater les comptes des réseaux sociaux et les sites web du diffuseur. Pendant ce temps, le cyber jihadiste en chef partait à l’attaque du centre névralgique de TV5 Monde : son serveur de transmission.
Aujourd’hui, Breakig3zero est en mesure de révéler d’où l’attaque contre TV5 a débuté et donc de dévoiler la localisation du hacker principal.
Dans le script du virus “isis”, figure une adresse DNS.
Pour simplifier, il s’agit de la passerelle empruntée par le pirate pour attaquer sa victime. Une liaison qui peut mener à l’adresse IP de l’ordinateur utilisé et donc de sa localisation.
Dans le script de “isis”, l’adresse DNS est la suivante : “isis2012.ddns.net”
Une de nos sources a pu remonter sa piste.
Derrière l’adresse DNS se trouve une adresse proxy localisée en Roumanie. Pour faire simple, un proxy est un moyen utilisé pour dissimuler la réelle localisation d’un utilisateur. Une garantie d’anonymat. Ou presque
Derrière ce premier niveau de protection, un second étage d’anonymat via un nouveau proxy renvoyant en Asie.
Mais il n’y en a pas de troisième.
Derrière cette dernière barricade, la véritable adresse IP de l’ordinateur à l’origine de l’attaque contre TV5 Monde.
Sa localisation ? Établie avec précision à 55 kilomètres près, elle pointe vers une zone tribale d’Arabie Saoudite, a proximité de la frontière avec l’Irak.
“isis”, un ver basé sur un virus crée au Moyen Orient, utilisé par des cyber jihadistes, a bel et bien été envoyé en mission destructrice contre TV5 depuis une zone sensible de la guerre qui oppose la France à l’État islamique.
Confirmant que le cadre de la cyber guerre est bien plus complexe et vaste que l’on croit. Et où les rapports de force sont loin d’être clairs.
COMPLEMENT EXCLUSIF : LE SCRIPT VBS DE ISIS, LE VIRUS QUI A ATTAQUÉ TV5
Aucun commentaire:
Enregistrer un commentaire