---
tags: Workshop
---
# Workshop MSI1 - LETOT
[TOC]
## 01 - TV5 Monde
> Chaîne de télévision française, créée en 1984. TV5 Monde est l'un des trois plus grands réseaux mondiaux de télévision (200 pays, 60 millions de téléspectateurs).
>
> C'est le 1er réseau mondial de chaînes en français à travers 11 chaînes.
>
> Pour ceux qui découvre cette chaîne, c'est normal car cette dernière est principalement diffusé et regarder hors de la France.
>
> Cette chaîne représente donc le rayonnement des pays francophones dans le monde.
## 02 - L'ANSSI
> Service créé en juillet 2009. Sa mission est de défendre les systèmes d'information de l’État et des différents OIV.
## 03.1- L'attaque
> Il est nécessaire de préciser que le contexte géopolitique est tendue car quelque mois avant les événements de Charlie Hebdo et l'Hyper Kacher se sont passés et la France à déployer des forces contre l'État islamique.
>
> Dans la nuit du 08 avril 2015 à 19h57 TV monde subit une attaque (Log TACCAS qui montre une suppression de firmware et endommager les équipements réseau), le 09 avril 2015 vers 03h00 la celle de crise de l'ANSSI est dépécher sur place pour une mission inédide qui sort de leurs juridiction.
>
>
> Aspect visuel de l'attaque :
> - Ecran noir sur l'international
> - Défiguration des sites webs et réseaux sociaux avec des messages djihadistes
> - Arrêt des services internes
### 03.2- Chronologie
> 1. L’offensive débute le 23 janvier 2015 avec une phase d'exploration (scan adresse IP)
> 1.1 Connexion à un VPN de TV5 appartenant à un sous-traitant de la chaîne
> 1.2 Accès à un serveur de gestion des caméra sur le plateaux avec des identifiants par défaut. Rebond.
> 1.3 Création d'une persistance avec le compte "LocalAdministrator"
> 1.4 Phase de collecte d'informations sur le wiki interne (récupération d'identifiants/mot de passe)
> 2. Nous avons ensuite la phase de compromission qui est très rapide
>
> Les pirates ont implémentés un implant nommé "Ankou" ce dernier se trouve facilement sur Internet. Il ne fut pas utilisé et sûrement un leurre.
>
> 3. La phase de sabotage ensuite (première en France)
> 3.1 Modification des configuration IP des encodeurs et multiplexeur
> 3.2 Défacage des sites internet et réseaux sociaux
> 3.3 Destruction du logiciel qui fait fonctionner les flux vidéo. Black out :night_with_stars:
> 3.4 Destruction de la messagerie interne à 23h40
> 4. Isolation du réseau TV5 qui n'est plus TV5 Monde
>
> 5. Ce type de chronologie est typique d'un APT
## 04- La remédiation
### 04.1- Les acteurs impliqués
> * DSI TV5 Monde
> * DGSI
> * ANSSI
### 04.2- Les premières 48h
> - Mise en place des acteurs et qui sont les bons interlocuteurs
> -1 chef
> -3 analyste forensics
> -2 analyste réseau
> -1 reverseur
> -4 auditeurs
> - Recherche des "quick wins" (éléments qui permettent de panser facilement la cible)
> -Compte "LocalAdministrator" qui permet de haut-privilèges alors qu'entreprise FR
> -Déconnexion de sessions RDP
> -Précense de `ConnectBack.dll` qui permet de garder la main à distance
> - Recherche de bombe logiques (script, crontab), nouvelle destruction après remédiation
> - Le 09 avril à 20h, TV5 Monde diffuse des contenus pré-enregistrer
> - Il faudra 22h en continue pour remettre les différentes chaînes de TV5 en fonctionnement mais des années pour reprendre toutes leurs capacités
### 04.3- L'investiguation
>
>Qui est derrière cette attaque ? Bien que revendiqué par un groupe nommé " Cyber Caliphat" liée a Daesh.
>C'est APT28 groupe lié au GRU (renseignement militaire russe) actif depuis 2004, les soviétiques ont donc délibérément effectué une attaque sous couvert de l'état islamique. Cette attribution est attribué grâce à des TTPs, clavier cyrillique et heure correspondante à Saint-Pétersbourg et à Moscou.
>Les autres attaques d'APT 28 sont liée à l'OTAN, la maison blanche, les élections américaines, la chancellerie allemande,...
>L'attaque contre la France peut être lier à la crise ukrainienne et le refus de livraison de portes hélicoptères.
## 05.1 - Conséquences direct
> Différent acteurs était impliqué dans cet événement avec chacun des objectifs différents. Cette attaque a permis à :
> * Concernant TV5 Monde les machines infectées sont jetées et remplacées par du matériel neuf, une bascule vers un système sécurisé et ensuite effectué. Au total, cette attaque aura coûté environ 20 millions d’euros sur cinq ans à la chaîne de télévision. La protection fut confié à Airbus.
> Pour l'anecdote, dans un reportage tournée au sein des bureaux de TV5, ont voyaient un mot de passe sur un mur ou bien le mot de passe de leur chaines Youtube était "lemotdepassedeyoutube"
> * l'ANSSI : Comment l'attaque a été faite, moyens utilisés, se protéger et les détecter (➡️ retex technique)
## 05- Conséquences indirect
> Différent acteurs était impliqué dans cet événement avec chacun des objectifs différents. Cette attaque a permis à :
> * Secteur de l'audiovisuel (dont TV5) : Sensibilisation, prévention, marqueurs, périmètre (➡️ protection et reprise d'activité)
> * Ministère de l'Intérieur : Fait, chronologie (➡️ attribution judiciaire)
> * Partenaires Européen : Marqueurs, TTPs, prévention (➡️ apprentissage)
## 06- Conclusion
> Cet événement fut marquant la cyber en France, ce fut la première fois qu'une attaque aussi spectaculaire (les dégâts sont immédiats et très visibles) était effectuer et que les partenaires éthatiques était autant mis en avant.
Concernant l'ANSSI, cette opération leurs a permis de passer de l'ombre à la lumière.
## 07- Le workshop
> Le workshop se déroulera en équipe, le but est de se retrouver sur une machine similaire à l'environnement TV5 Monde et de faire le travail de l'ANSSI. Ce qui implique de l'investiguation de "quick wins".
> Nous mettrons une solution CTFd en mode équipe en place pour gérer le classement et les réponses des candidats.
>
> La configuration des machines :
> - Serveur :arrow_right: Windows Server 2012 R2
> -Sur le serveur, nous créons une architecture AD (Utilisateurs : Adminstrateurs, Journaliste, RH, Finance)
> * PU :arrow_right: Windows 8.1 ; XKY4K-2NRWR-8F6P2-448RF-CRYQH (pro)
> -Présense du fichier partager
>
> <u>Code Powershell tâche planifier</u> :
>
>```powershell
> $sourcePath = "C:\Users\Administrateur\Desktop\Journal\camera.txt"
>$destinationPath = "\\JOURNALISTE\Users\journalisteTV\Documents\"
>$credential = Get-Credential
>
>Copy-Item $sourcePath -Destination $destinationPath -Credential $credential
>```
><u>Obfuscation du code :</u>
>```Powershell
>$baseEncodedCode = >"JHNvdXJjZVBhdGggPSAiQzpcVXNlcnNcQWRtaW5pc3RyYXRldXJcRGVza3RvcFxKb3VybmFsXGN>hbWVyYS50eHQiCiRkZXN0aW5hdGlvblBhdGggPSAiXFxKT1VSTkFMSVNURVxVc2Vyc1xqb3VybmF>saXN0ZVRWXERvY3VtZW50c1wiCgpDb3B5LUl0ZW0gJHNvdXJjZVBhdGggLURlc3RpbmF0aW9uICR>kZXN0aW5hdGlvblBhdGggLUNyZWRlbnRpYWw="
>$decodedCode = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($ba>seEncodedCode))
>Invoke-Expression $decodedCode
>```
>
> <u>Script connexion autamtique RDP :</u>
>```Powershell
>$username = "Administrateur"
>$password = ConvertTo-SecureString -String '1AQW2ZSX"edc' -AsPlainText >-Force
>$credential = New-Object >System.Management.Automation.PSCredential($username, $password)
>
>$session = New-PSSession ad -Credential $credential
>Enter-PSSession $session
>```
## Présentation
> Le diapo de présentation peut se retrouver ici : https://view.genially.com/63e37e0641722e0018024033/presentation-workshop-msi1
## Sources
> [Vidéo analyse ANSSI](https://www.youtube.com/watch?v=9D__deRM7vw)
> [Ludo récap](https://www.youtube.com/watch?v=Lj49VHxcgYc)
> [Article Presse : LeMonde](https://www.lemonde.fr/pixels/article/2017/06/10/le-piratage-de-tv5-monde-vu-de-l-interieur_5142046_4408996.html)
> https://fr.wikipedia.org/wiki/Fancy_Bear
> [Article Presse : 20 min](https://www.20minutes.fr/medias/1747847-20151210-piratage-tv5-monde-apres-cyberattaque-chaine-investit-protection)
> https://www.lexpress.fr/economie/medias/piratage-de-tv5-monde-la-piste-russe_1687673.html
> https://www.lepoint.fr/high-tech-internet/tout-comprendre-sur-le-piratage-de-tv5-monde-10-04-2015-1920220_47.php
> https://www.lepoint.fr/high-tech-internet/les-mots-de-passe-de-tv5monde-diffuses-en-plein-13-heures-10-04-2015-1920198_47.php
Sign in with Wallet
Connect another wallet