APT 28: Wie ein französischer Fernsehsender gehackt wurde
Eine Hackergruppe hat im Jahr 2015 die Infrastruktur des französischen Fernsehsenders TV5 mit einem gezielten Angriff auf die IT-Infrastruktur über Stunden lahmgelegt. Der Untersuchungsbericht der französischen Polizei offenbart nun, wie sehr die Täter dabei einem Plan gefolgt sind, wie die BBC berichtet(öffnet im neuen Fenster) .
Am 8. April 2015 waren die Mitarbeiter von TV5 eigentlich in Feierlaune – an dem Abend sollte ein neuer Kanal des Senders eingeweiht werden. Doch um 20:40 Uhr bekam der Gründer Yves Bigot beim Essen die Nachricht, dass alle 12 Kanäle des Senders offline seien. Kurz darauf postete eine Gruppe unter dem Namen "Islamic Caliphate" Botschaften über die Twitter- und Facebook-Accounts des Unternehmens.
Die Angreifer gingen offenbar planvoll vor. Bereits am 23 Januar soll das Netzwerk des Senders erstmals infiltriert worden sein, wie aus dem Bericht nach Angaben der BBC hervorgeht. Die Angreifer nahmen sich Zeit, um das Netzwerk gründlich zu analysieren- und um zu schauen, wie das Netzwerk am besten sabotiert werden konnte.
Hardware sollte zerstört werden
Denn offenbar ging es der Gruppe nicht darum, nur den Sendebetrieb kurz zu stören oder vertrauliche Daten zu kopieren. Vielmehr soll die Zerstörung von möglichst viel Equipment das Ziel gewesen sein. Dazu entwickelten die Angreifer offenbar eigene Malware. Wie genau das zur Zerstörung der Hardware beigetragen haben soll, wird leider nicht erwähnt.
Der Ausfall der Sender zog sich über viele Stunden. Erst um 5:25 Uhr am folgenden Tag ging der erste Kanal wieder online, die anderen folgten im Laufe des Morgens. Wegen der Premiere des neuen Kanals war die Abteilung des Senders offenbar fast vollständig anwesend – und konnte Schlimmeres verhindern.
Der Admin als Retter in der Not
Denn ein Administrator verhinderte offenbar, dass noch weitere Teile des Netzwerkes infiziert wurden: "Einer der Techniker war in der Lage, das Gerät zu identifizieren, das für den Angriff genutzt wurde und es gelang ihm, das Gerät vom Netz zu nehmen und den weiteren Angriff zu stoppen" , sagte Bigot im Gespräch mit der BBC. "Er ist ein Held hier" .
Die Angreifer nutzten der Untersuchung zufolge sieben verschiedene Zugangspunkte aus, um sich Zugriff auf die Systeme zu verschaffen. Nicht alle betrafen das Netz von TV5 selbst: So soll einer über den Hersteller von fernsteuerbaren Überwachungskameras erfolgt sein, der seinen Sitz in den Niederlanden hat.
Kein islamistischer Hintergrund
Anders als das in den sozialen Medien gepostete Bekennerschreiben zunächst vermuten lässt, soll es sich nicht um einen islamistisch motivierten Angriff handeln. Den Ermittlern zufolge geht der Angriff auf die russische Hackergruppe APT28 zurück, die auch unter den Namen Sofacy oder Fancy Bear bekannt ist.
TV5 investierte nach dem Hack offenbar deutlich mehr in die Sicherheitsvorkehrungen. Kurzfristig betrugen die Kosten etwa 5 Millionen Euro, jährlich sollen für zusätzliche Schutzmaßnahmen rund 3 Millionen Euro zusammenkommen, was recht hoch erscheint.
Mitarbeiter müssen nun "spezielle Authentifizierungsmechanismen" einsetzen, wenn sie von unterwegs E-Mails abrufen wollen, außerdem gibt es verpflichtende Prüfungen von USB-Sticks. Zwischenzeitlich wurde sogar der Zugang zu E-Mails komplett blockiert, Mitarbeiter mussten daher die Faxgeräte nutzen.
Allein durch diese Maßnahmen werden die bezifferten 3 Millionen Euro pro Jahr wohl kaum zustande kommen – genauere Angaben zu den Investitionen gibt es aber nicht. Doch eine Folge der Umstellung beeinflusst den täglichen Geschäftsbetrieb: Das Unternehmen sagt, die neuen Schutzmaßnahmen führten zu "realen Effizienzverlusten" in der täglichen Arbeit.