Under onsdagen den 8:e april blev franska TV5 Monde attackerat och sändningar avbröts. Deras konton i sociala media användes för att sprida id:n på franska soldater. Vi bestämde oss för att titta närmare på hur detta kunde ske och varför.
Cyberoperationen mot det franska tv-bolaget är intressant av ett flertal skäl. Dels utifrån en teknisk synvinkel avseende möjligheten att kunna "ta över" sådana system och sprida budskap. Dels utifrån säkerhetspolitiska aspekter avseende vilka aktörer som ligger bakom, deras syften och motiv. I skrivande stund ska också nämnas att informationen om händelsen är knapphändig vilket kan påverka analysen av det faktiska skeendet.
Första frågan var hur det rent tekniskt hade gjorts. Hur har de kunnat komma åt plattformen för tv-sändningarna? Det visade sig att det fanns en hel del information helt öppet för en tekniskt kunnig person att ta del av som ger ett flertal alternativa tillvägagångssätt.
Viktigt att poängtera är att enbart publikt tillgänglig information har använts. Vi har inte försökt penetrera några av systemen. Det gör att det finns vissa spekulativa inslag i texten baserat på våra erfarenheter.
På en gång upptäckte vi att de har många system som är direkt kopplade mot Internet. Varje system utgör en potentiell attackyta för att komma åt de system som finns bakom. Desto fler system som är synliga på internet, desto fler saker finns det som en hacker kan angripa.
En enkel sökning pekade oss i riktning mot den plattform TV5 Monde använder för sina sändningar, vilken för övrigt är en svensk plattform. Det finns flera sätt att attackera en sådan här lösning, man kan gå direkt på administrationsgränssnittet som är webbaserat. Sådana kan finnas tillgängligt från Internet.
Man kan också försöka attackera billingservern. Billingservern styr vilka program eller kanaler som sänds vidare till de olika distributörerna. Om du kan tala om för billingservern att ingen längre använder kanalen, eller radera all kunddata, blir det svart i rutan. Med tanke på att de gått ut med att det är stora skador på systemet skulle vi säga att detta är ett troligt tillvägagångssätt i det här fallet.
Hur har man då kommit åt servern? Här finns också ett flertal tänkbara scenarier: dålig patchning, svaga lösenord, dåligt perimeterskydd. Man måste betänka att ett TV-sändningssystem är fokuserat på prestanda och lagring, inte säkerhet.
Vid säkerhetstestning av andra TV-bolag har man sett att gemensamma lösenord har använts och både brandväggar och rutiner för patchning har saknats. Eller så har angriparen helt enkelt använt sig av en spearfishingattack mot anställda på Monde. Med tiden får vi förhoppningsvis större klarhet i vad som de facto skett.
Vad det gäller de sociala medierna och deras konton är dessa relativt enkla att ta över. Det finns oftast ett gemensamt konto som alla kommunikatörer använder. Lösenorden är ofta svaga för att det ska vara lätt att snabbt uppdatera med nya tweets eller satusrader. Har de väl tagit över ett konto har de också med stor sannolikhet tillgång till alla konton.
Nu när vi förstått hur de har angripit Monde vill vi gärna förstå varför. Varför är lika viktigt som hur för att kunna skydda sig. Vi måste ha en så kallad hotbild för att kunna fatta rätt säkerhetsmässiga beslut.
Vilka är då dessa personer som attackerade TV5 Monde?
Aktörerna i operationen använder begrepp som cyberjihad, cyberkalifat och cyberterrorism. Uttrycken är gångbart massmedialt och följer IS (Islamiska statens) vilja att påvisa att de har en förmåga att agera både i den fysiska världen och på informationsarenan.
Generellt kan sägas att cyberterrorism är ett samlingsnamn för en rad olika aktiviteter i cyberrymden. Likt "traditionell" terrorism handlar det mångt och mycket om att skapa rädsla och osäkerhet samt om att påvisa att man har medel, motiv och resurser att genomföra operationer på nätet. I det här fallet att kunna påverka opinion utifrån sitt syfte, dvs en psykologisk operation.
I nuläget vet vi inte vem eller vilka som ligger bakom operationen. Det kan vara ett löst sammansatt nätverk av hackare så kallade hacktivister som koordinerat sitt agerande i syfte att stödja IS ideologiskt. Det finns ett antal sådana grupperingar med bakgrund i Mellanöstern och som opererar globalt. Vissa av medlemmarna kan mycket väl bo i Europa och i Frankrike.
Det kan också vara en mer resursstark organisation som agerar i bakgrunden och som kanske har en helt annan agenda än den som tillsynes verkar vara.
Målobjekt
Det finns till synes minst två målobjekt. Det ena är själva TV-bolaget och dess verksamhet. Det andra är franska soldater och information kring deras påstådda verksamhet i Irak och Syrien. I tidningsartiklar som publicerats om händelsen sägs cyberjihadisterna ha såväl namn som CV på vissa av soldaterna alternativt namn på anhöriga till den militära personalen. Dessa uppgifter ska ha publicerats på nätet. Den informationen är nu borttagen och därmed svår att kontrollera.
Cyberjihadisternas syfte kan vara att hota och skrämma inte enbart dessa individer utan även Frankrike och dess allierade. I förlängningen vill man kanske dämpa det tryck som finns mot organisationen i Irak och Syrien genom att genomföra attacker i Frankrike.
Skrämsel är en viktig del av terrorismens logik. Det här väcker frågor. Stämmer det verkligen att de har tillgång till sådan information om individerna som de säger sig ha eller inte? Om det är korrekt hur har de i så fall fått tag i informationen? Via insiders eller kanske från sociala medier där soldater eller deras anhöriga av obetänksamhet nämnt att de är på mission i området. Det här är oklart i nuläget. Oavsett detta, så påvisar det behovet av att kunna skydda vital information speciellt om det gäller militär personal på mission.
Vad kan vi då dra för slutsatser om det inträffade?
De system som nyttjas av TV-bolaget är med största sannolikhet sårbart för digitala attacker. Angriparnas syfte har varit att påvisa att de har resurser, motiv, vilja och förmåga att koordinera och genomföra påverkansoperationer. Deras agerande kommer troligtvis att fortsätta över tid. Konsekvensen blir således att vi måste skapa en medvetenhet och beredskap för att hantera dessa komplexa händelser.
Det innebär bland annat ett behov av att utveckla kunskap om hotbilder och att ta fram strategier och rutiner för säkerhet. Säkerhet ska vara en naturlig och välkommen del av den dagliga verksamheten.
Vår förhoppning är att ansvariga parter går ut med en analys som klart beskriver vad som har hänt. Ett sådant underlag skulle kunna vara till god hjälp vid kravställning av högre säkerhetsnivåer speciellt för en så psykologisk viktig symbol som en TV kanal med global spridning ändå är.
Patrick Kall & Roland Heickerö
Patrick Kall är säkerhetskonsult på Knowit som har jobbat i över 20 år inom IT och informationssäkerhet, med allt ifrån avancerade tekniska säkerhetslösningar, nätverksarkitektur säkerhetstester till strategisk ledning och rådgivning
Roland Heickerö är säkerhetskonsult på Knowit, docent på Försvarshögskolan och adj professor i informationssäkerhet på KTH CSC. Han är även författare till boken ”Internets mörka sidor. Om cyberhot och informationskrigföring”