4月8日晚上10點到翌日凌晨的1點,TV5Monde,這家法國最大的全球性電視網因為網路攻擊而導致完全斷線。這次攻擊的範圍前所未見。攻擊者能夠:
- 完全中斷 TV5Monde所有11個頻道的播出。
- 完全中斷 TV5Monde 的內部網路。
- 取得 TV5Monde 網站和社群媒體帳號的控制。
- 變更網站內容成為親ISIS的聲明。
- 在社群媒體帳號貼出參與對ISIS行動的法國士兵親屬名字和個人資料。
上述任何一項,單獨發生都已經是重大的網路攻擊事件,全部同時發生更是提升了整個事件的層級。有關單位正持續進行調查,以期精確掌握此攻擊事件的源頭與始末。
根據趨勢科技初步的調查顯示,VBS_KJWORM.SMA是由名為Sec-Worm 1.2 Fixed vBS Controller的駭客工具所產生。我們將此遠端控制木馬產生器偵測為HKTL_KJWORM。
要指出的是,Kjw0rm已知的惡意軟體家族;趨勢科技在一月份時曾經提及此惡意軟體家族,因為它來自于外洩的NJWORM原始碼。Kjw0rm可以在dev-point.com的阿拉伯文區找到。
研究趨勢科技主動式雲端截毒服務 Smart Protection Network的資料後發現,VBS_KJWORM.SMA在過去一周至少在12個國家出現,包括了南非和印度。這並不令人驚訝,因為這惡意軟體可以從地下論壇取得,任何人都可以使用。
此惡意軟體可以被用來作為後門程式進入受感染系統。此外,據報在攻擊中所用的C&C伺服器跟另一個後門程式BKDR_BLADABINDI.C有關。經過調查讓我們相信Kjw0rm和BLADABINDI幕後的黑手是相同的。
進一步由趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的資料顯示其他VBS惡意軟體變種目前也在肆虐中。同時也發現四個不同的C&C伺服器(跟NJWORM所用的不同)。這些不同樣本跟之前的NJRAT/JENXCUS攻擊有關。NJRAT會關連到拉丁美洲的DUNIHI攻擊。
註:SECWORM惡意軟體是來自KJw0rm的遠端存取木馬,加上一些修改和改進。
了解造成公司停擺之網路攻擊的影響
根據報導,這起在4月9日針對法國TV5Monde電視網的大規模網路攻擊開始於大約當地時間的晚上10點,當時該電視網的11個頻道都停播了。
此外,TV5Monde的網站、公司電子郵件以及他們的社群媒體帳號都遭到攻擊。該電視網的Facebook網頁被用來發佈據稱來自伊斯蘭國ISIS的宣傳資訊。該電視網的一個Twitter帳號也被用來貼出反對美國和法國的留言,以及發出威脅法國士兵家屬的訊息。法國士兵的身分證和護照影本也被公佈。
要特別指出的是,此次攻擊的技術細節尚未明朗。然而,遠端存取木馬產生器目前在數個駭客論壇都可取得,任何惡意份子都能加以利用。因此,不需要太多技術背景就可以加以使用。
趨勢科技威脅研究反應團隊也密切關注此事件發展,以確保提供用戶完整的防護。同時,藉著本次惡意攻擊事件發生的機會,趨勢科技再次提醒客戶及合作夥伴,我們無時無刻都處於精密規劃的惡意攻擊威脅之中,因此更需要建立一套完整的防禦措施。即便這次事件的初始攻擊目標是位於巴黎的公司,但是現今的資訊流早已無國界,也可能造成全球性的重大影響。
APT 攻擊-進接持續性威脅(Advanced Persistent Threat,APT)與其他目標式攻擊的其中一項關鍵在於他們會尋找企業的系統及軟體弱點與安全防護漏洞,並搶先在漏洞修補前發動攻擊。滲透進入企業內部網路後,隨即開始使用各種惡意程式、駭客工具、惡意程式碼回報給遠端的命令與控制伺服器(Command & Control Server, C&C)。有鑑於此,趨勢科技也持續將新發現的C&C的IP位址加入趨勢科技主動式雲端截毒技術(Smart Protection Network, APN)資料庫中,協助阻擋此類攻擊事件中的回報行為,大幅降低可能帶來的損害。
趨勢科技在此建議您,要防範駭客攻擊,除了防毒軟體及各種資訊安全產品皆須正確佈署並隨時保持更新之外,應當採取更積極主動的措施(可參考給IT管理員的 6 個網路安全建議),在日常生活中也須提高資安意識,例:點擊電子郵件中的網址前須仔細確認其真偽。
如前所述,趨勢科技仍持續關注歐洲網路攻擊事件的發展,並會將新資訊或是防護措施(病毒碼或新防禦規則等)公布於以下知識庫:https://esupport.trendmicro.com/solution/en-us/1109423.aspx。此事件再次提醒我們,現今的數位化世界高度連結已無國界,面對資安威脅絕不可掉以輕心。如對目標式攻擊或惡意威脅有任何問題,請聯絡趨勢科技技術支援部。相關資料請參閱 。
這事件更加令人驚心的是幕後很有可能有著政治或恐怖分子目的(跟我們最近的Arid Viper行動報告中所陳述的類似)。
完整的細節尚未明朗,不過之前的攻擊如 Arid Viper 和 Sony(遭遇相同命運的另一家大公司)顯示這很有可能是網路釣魚(Phishing)和魚叉式網路釣魚造成。我們最近針對美洲國家組織(OAS)所作關於關鍵基礎設施攻擊的調查結果也支持了這一論點。研究發現,網路釣魚(Phishing)是針對關鍵基礎設施的頭號攻擊手法,有71%的受訪者說自己曾遭遇這樣的攻擊。
而此事件所最凸顯的是針對關鍵基礎設施的網路攻擊會影響到一般民眾這事實。簡而言之,這是第一次出現只在驚悚片或災難片中會看到的針對關鍵基礎設施攻擊。
TV5Monde在約上午2點恢復對其網路及運作的控制,約是攻擊開始後的四個小時。截至本文撰寫時,他們已經保持控制超過了24小時。從這一點看,攻擊似乎是結束了。
但該擔心的事情現在才開始浮現,因為我們知道發生什麼及其代表什麼。
首先,這表示了不是只有具備大量資源的大國可以執行破壞性的攻擊。非國家級的激進分子和犯罪分子也在使用先進的技術。這我們已經知道好一陣子,但這起事件顯示出這認知有多正確(及破壞可以有多大)。
其次,這起攻擊顯示出攻擊關鍵基礎設施來影響一般民眾不再只是小說情節,或是安全專家假設的「最壞情況」 – ,它們現在已經成為現實,並且產生作用。
最後,它也突顯出每個人都需要認真的面對APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊針對性攻擊,並採取適當措施來對付它們。使用網路層防護機制來偵測漏洞和防止入侵,像是趨勢科技的Deep Security已經漸漸成為必備的解決方案,而非只是大公司才會使用的產品。
幸運的是,據趨勢科技所知,這次攻擊沒有造成顯著的損害、傷害或生命損失。但這些其實都很有可能發生,因為網路攻擊已經越來越真實。應該將這起 TV5Monde攻擊事件視為一起「當頭棒喝」,迫使人們明白針對關鍵基礎設施的威脅不只是幻想。需要政策制定者和企業管理階級間協調一致的努力,認真看待此一情況並迅速採取行動,現在就加以投資以在下一波更大的攻擊到來前更好地保護網路。
@原文出處:
The TV5Monde Attack: Four Hours that Changed the World
Kjw0rm VBS Malware Tied To Attacks on French TV Station TV5Monde