(Cyber) Guerra Fría I: Ataque a TV5Monde

A pesar de que en la prensa española no tuvo mucho eco -para lo grave que fue según mi criterio-, el pasado abril la cadena TV5Monde sufrió un ciberataque sin precedentes en la historia de la televisión por el que, durante 18 horas y de manera sincronizada los atacantes, en nombre del Estado Islámico, se hicieron con 11 canales de televisión, sus perfiles en redes sociales, varios servidores y sitios Web. La ANSSI (Agence nationale de la sécurité des systèmes d’information) concluyó sin demasiados comentarios que los dispositivos de electrónica de red también se habían visto comprometidos, incluyendo decodificadores y multiplexores necesarios para la difusión de los programas.

Además de publicar propaganda ligada al EI, también se publicaron datos supuestamente confidenciales sobre soldados franceses junto con amenazas a sus familias (a posteriori el Ministerio de Defensa francés informó que no se había expuesto ningún dato confidencial).

mm0

Pero, ¿es posible tumbar 11 canales de TV sin acceso físico a dispositivos? La respuesta es sí, por ejemplo mediante dos métodos:

  • Jamming: se trata de transmitir señales de radio de forma malintencionada con el objetivo de impedir una comunicación, alterándola o anulándola lo suficiente como para que el receptor no pueda interpretarla. Hay dos posibilidades, una es perturbar las frecuencias de televisión que emiten los repetidores, lo que es bastante complicado por su extensión geográfica y número, o bien perturbar las redes de radio de enlace que alimentan esos repetidores como radioenlaces o feed de satélite, lo que sería más efectivo. La historia de la guerra electrónica está llena de ejemplos de jamming; como cuando España interfirió la emisora Radio España Independiente, Estación Pirenaica, durante varias décadas en la dictadura de Franco o cuando Alemania interfería durante la Segunda Guerra Mundial desde la Holanda ocupada las señales provenientes de los holandeses exiliados en Reino Unido.

  • Accediendo a la red de transporte: de esta forma se tiene acceso a todo el tráfico MPEG ¿qué podríamos hacer?

    • Ataque a la red de distribución; con ésto se consigue que la señal no se distribuya.

    • Ataque dirigido al hardware codificador, o a los equipos de control; con eso se consigue tomar el control de la cadena y emitir lo que quieras. En el caso de que la distribución desde la cadena haga mediante hardware hacia la red de transporte, porque es posible que se haga ya directamente por IP contra el Telepuerto, en cuyo caso podríamos…

    • Atacar el Telepuerto, con eso se consigue que la señal que llega por la red de transporte no suba al satélite.

mm1TV5Monde es el cuarto canal de televisión global más grande después de MTV, CNN y BBC World y emite en 200 países, con lo que el impacto de este hackeo fue importante y se estiman unas pérdidas directas e indirectas de unos 11 millones de euros. El incidente hizo que tres ministros franceses salieran a dar explicaciones sobre lo ocurrido (Ministro del Interior, de Cultura y de Asuntos Exteriores), lo que pone de manifiesto su impacto.

Aunque inicialmente circulaban rumores de que los atacantes habían usado las contraseñas que accidentalmente fueron reveladas durante algunas entrevistas en este canal, una posterior hipótesis del ataque apoyada por Blue Coat o Trend Micro es que se usó el RAT KjW0rm VBS que se habría hecho con los sistemas a través de spear-phishing hacia los empleados en un ataque dirigido [1] que, hipotéticamente lleva en marcha desde enero.

Este malware permite, entre otras, llevar a cabo las siguientes acciones por parte de un usuario remoto a través de los siguientes comandos:

  1. uninstall – remove dropped files and created registries.

  2. RE – reloads script.

  3. download – downloads and save fie from url.

  4. update – overwrite script.

  5. execute -execute file.

  6. cmd – shell command.

  7. Attack – continuous ping.

  8. ourl – access a url.

  9. close – terminate script.

  10. restart – forced restart of machine command.

  11. shutdown – forced shutdown of machine command

  12. logoff – forced logoff of machine command

mm2 En enero ya hay referencias de este malware en un foro en árabe del sitio “dev-point.com”, un sitio dirigido para amantes de las IT pero del que puedes descargarte RATs, spyware, y otro tipo de malware. El hecho de que se pueda encontrar en un foro en lengua árabe podría reforzar la teoría de que detrás del ataque a TV5Monde podría estar efectivamente el Cyber Caliphate (del que ya hablamos en este blog). Sin embargo, una vez el RAT está circulando por este tipo de foros, cualquiera puede hacer uso del mismo, con lo que cualquier otro grupo o individuo podría estar detrás del ataque.

Según Trend Micro, el C&C en cuestión usado en el ataque ha estado ligado a otro malware, BKDR_BLADABINDI.C, con lo que sería posible que tras estas dos muestras de malware esten los mismos actores.

Dos meses después del ataque, el pasado junio, desde Fireeye y Trend Micro informaron que, tras haber analizado el incidente, tras esta operación no habría hackers ligados al EI sino a Rusia, y apuntan al grupo APT28, ya que además de muchas similitudes en el modus operandis de este grupo detectadas en el incidente de TV5Monde, los atacantes contra el canal francés usaron IP alojadas en el mismo bloque de IP perteneciente a una conocida infraestructura del grupo APT28.

Pero, ¿Rusia? ¿Qué pretendía con un ataque de tal envergadura contra un medio de comunicación? ¿Demostrar que podían hacerlo? ¿Maniobra de distracción? ¿Malas relaciones entre Francia y Rusia? Sabemos que a raíz de la crisis de Ucrania la tensión entre Francia y Rusia se acentuó, surgiendo por ejemplo el conflicto de los buques de guerra Mistral, uno de los conflictos diplomáticos más importantes entre estos dos países. Los motivos pueden ser muchos, pero el caso de que efectivamente fuese Rusia el origen.

Además, a lo largo de la historia, Rusia -al igual que otros Estados- ha llevado a cabo PSYOP (Psychological Operations) para desinformar, crear confusión o discordia en aras de su beneficio propio, y eso incluye operaciones en el ciberespacio tal y como -supuestamente- suele llevar a cabo el régimen Sirio en los últimos años.

Al hilo de estas operaciones psicológicas, el pasado junio The New York Times revelaba la (supuesta) existencia de una organización secreta de Rusia conocida como The Agency (Internet Research Agency), en la que sus empleados se dedican a publicar miles de mensajes online con el objetivo de manipular opiniones y apoyar al gobierno de Putin.

mm3

(Edificio de The Agency, en 55 de la calle Savushkina, San Petesburgo)

Una operación particular que llevó a cabo esta agencia (según el NYT) fue la creación de un bulo por el que se publicaron mensajes y vídeos de falsas explosiones en redes sociales que avisaban de un escape de gas tóxico en el estado de Lousiana. Podéis echar un vistazo al hashtag #ColumbiaChemicals para dar cuenta de lo que se estuvo publicando, e incluso el pánico cundió cuando apareció un video (falso) en el que ISIS se hacía responsable del escape de gas. En este completo análisis de RecordedFuture se puede ampliar esta información.

Pero esto no es nuevo, ya en el 2003 aparecen referencias a las Web Brigades centradas en emitir propaganda pro-rusa.

Por otro lado, ¿por qué APT28, que se ha caracterizado por ser una amenaza avanzada dedicada a obtener información de inteligencia de la forma más sigilosa, iba a implicarse ahora en una operación tan “ruidosa” de bandera falsa? ¿Por qué usar la infraestructura habitual y el mismo modus operandi? Otra hipótesis plausible sería que TV5Monde estuviera afectada simultánea e independientemente por el Cyber Caliphate y por APT28 (éstos últimos infiltrados por motivos propios de inteligencia como por ejemplo conocer las noticias antes de que se publiquen, indagar sobre las fuentes periodísticas).

Además, este ataque a la cadena de televisión tiene muchas similitudes a otros ataques perpetrados con anterioridad por parte del SEA (Syrian Electronic Army) -el autor también podría ser el SEA o alguien que antes perteneciera al SEA- o del propio Cyber Caliphate. Por ejemplo, el ataque al CENTCOM (Mando Central de los Estados Unidos), en el que sus cuentas en Twitter y en Youtube fueron comprometidas y en las que se usaron para difundir propaganda de ISIS y además se expuso información (supuestamente no confidencial) de militares estadounidenses.

mm4

Como siempre, las atribuciones de la autoría de un ataque en este tipo de situaciones son ambiguas y complejas. En este caso, ¿realmente fue el Cyber Caliphate? ¿Fue APT28? ¿Había dos grupos independientes persiguiendo diferentes objetivos? ¿Fue una maniobra de distracción para llevar a cabo otras acciones? ¿Realmente el objetivo era emitir propaganda pro-ISIS?

Bienvenidos a un episodio más de la, cada vez más presente, Guerra Fría en la era de Internet.

[1] Sin entrar en detalles técnicos de las vías de entrada de esta intrusión ya que no hay demasiados datos, sí que os puedo recomendar un análisis técnico muy completo de la infraestructura de TV5Monde que @pblumo publicó basándose en la recopilación de información de fuentes abiertas. Como veréis, en un ataque dirigido, con esta información estratégica del objetivo, es posible perpetrar muchas acciones contra la infraestructura de la cadena (incluidos los empleados).