世界第四大國際性媒體法國TV5Monde電視網(wǎng)在2015年4月中斷放送長達(dá)數(shù)小時。如今,其主管伊夫·比格特向BBC透露:若不是一名技術(shù)人員拔下正在散布惡意軟件的被感染系統(tǒng)電源,這次放送中斷的時間可能還會更長。
2015年4月8日20:40,TV5Monde所有12個頻道全部停播。直到第二天凌晨05:25,一名恰好在災(zāi)難發(fā)生時偶然在場的技術(shù)團(tuán)隊成員,才將首個頻道恢復(fù)播放。
比格特解釋道:“那天我們剛開通一個頻道,技術(shù)人員就在那里,因而我們還不算被徹底毀滅。”如果頻道恢復(fù)時間再延遲一點(diǎn),衛(wèi)星放送頻道可能就會要求賠償,或者更糟糕的情況——與TV5Monde解約,這對電視臺是個生死攸關(guān)的威脅。
黑客們在發(fā)動攻擊前10周,就已經(jīng)在謹(jǐn)慎偵察后滲透進(jìn)了該電視系統(tǒng)網(wǎng)絡(luò)。到4月初展開襲擊之時,他們拋出了能搞攤節(jié)目播送使用的編碼系統(tǒng)的定制軟件。黑客從多個入口點(diǎn)入侵TV5的網(wǎng)絡(luò),包括TV5演播室使用的遠(yuǎn)程控制攝像頭之類的供應(yīng)商網(wǎng)絡(luò)。
雖然表面上看起來像是與IS有關(guān)的網(wǎng)絡(luò)圣戰(zhàn)分子所為,但后來俄羅斯(更具體點(diǎn)說,是 APT 28 黑客小組)作為該攻擊的主要疑犯冒了出來。一些安全專家認(rèn)為,俄羅斯人是在測試對直播媒體的攻擊能力。
該攻擊讓TV5損失了500萬歐元,后續(xù)安全強(qiáng)化賬單也達(dá)到了300萬歐元。
安全公司 Digital Guardian 副總裁兼歐洲中東非洲(EMEA)總經(jīng)理盧克·布朗稱,TV5的慘劇給大家上了生動一課,讓人們明白精心制定的災(zāi)難恢復(fù)計劃有多重要。
TV5被黑事件充分表明,考慮周密的事件響應(yīng)計劃,可以限制黑客造成的破壞。通過識別出引發(fā)損害的被感染機(jī)器,一名技術(shù)人員得以從源頭斬斷攻擊。
“很多公司沒認(rèn)識到事件響應(yīng)其實是個過程,而非與其他事務(wù)隔離的獨(dú)立活動。事件響應(yīng)計劃的制定和審查不是一次性動作,而要持續(xù)不斷進(jìn)行,且要納入威脅情報和網(wǎng)絡(luò)狩獵活動,讓事件響應(yīng)更加積極主動。”