FireEye especula que detrás del hackeo del canal de televisión TV5Monde de Francia se encuentra la popular APT28 que utilizó el seudónimo Ciber Califato ISIS.
El dia 8 de abril TV5Monde fue interrumpida, Crónica Hacker reportó el incidente en el siguiente articulo:
El Canal de Televisión Francés TV5Monde Hackeado por Grupo Ligado al Estado Islamico
De acuerdo con expertos en seguridad de FireEye, el ATP28 rusa (también conocida como Pawn Storm, Tzar Team, Fancy Bear y Sednit) pueden haber utilizado el nombre de ISIS como una estrategia de distracción, los expertos notaron una serie de similitudes en los TTP utilizados por el grupo ruso y el que violó la red en TV5Monde.
Los expertos de FireEye publicaron un informe detallado sobre ATP28 en octubre de 2014, especulando que el grupo está compuesto por hackers patrocinados por el estado que están manejando una larga campaña de espionaje cibernético en contratistas de defensa estadounidenses, organizaciones europeas de seguridad y entidades gubernamentales de Europa del Este.
Los hackers también atacaron a los asistentes de exposiciones de defensa europeas, incluido el EURONAVAL 2014, EUROSATORY 2014, y la Counter Terror Expo y el Farnborough Airshow 2014.
La mayoría de los archivos analizados por FireEye tienen su configuración en idioma ruso, los expertos confirmaron "que una parte importante de la APT28 malware ha sido compilada en un entorno de compilación en ruso consistentemente a lo largo de seis años."
Como suele ocurrir en estos casos, con el fin de perfilar el atacante los investigadores analizaron los tiempos de compilación y descubrieron que estaban alineados con las horas de trabajo en Moscú y San Petersburgo, otro elemento que sugiere la participación de un equipo con sede en Rusia. Casi el 96 por ciento del malware ha sido compilado entre un lunes y viernes durante un 08 a.m.-6 p.m. día de trabajo en la zona horaria de Moscú.
El dia 8 de abril TV5Monde fue interrumpida, Crónica Hacker reportó el incidente en el siguiente articulo:
El Canal de Televisión Francés TV5Monde Hackeado por Grupo Ligado al Estado Islamico
De acuerdo con expertos en seguridad de FireEye, el ATP28 rusa (también conocida como Pawn Storm, Tzar Team, Fancy Bear y Sednit) pueden haber utilizado el nombre de ISIS como una estrategia de distracción, los expertos notaron una serie de similitudes en los TTP utilizados por el grupo ruso y el que violó la red en TV5Monde.
Hay una serie de puntos de datos aquí en común ", dijo Jen Weedon, gerente de inteligencia de amenazas en FireEye. "La 'web Ciber Califato", donde se publicaron los datos sobre el hack TV5Monde estaba alojado en un bloque de IP, que es el mismo bloque IP como otras infraestructuras conocidas de APT28, y se utiliza el mismo servidor y registrador que APT28 utilizo en el pasadoWeedon confirmó que en el momento del ataque TV5Monde, otros periodistas fueron atacados por el grupo APT28 y los ataques fueron coordinados por la misma infraestructura de hacking utilizada por el equipo.
Los expertos de FireEye publicaron un informe detallado sobre ATP28 en octubre de 2014, especulando que el grupo está compuesto por hackers patrocinados por el estado que están manejando una larga campaña de espionaje cibernético en contratistas de defensa estadounidenses, organizaciones europeas de seguridad y entidades gubernamentales de Europa del Este.
Los hackers también atacaron a los asistentes de exposiciones de defensa europeas, incluido el EURONAVAL 2014, EUROSATORY 2014, y la Counter Terror Expo y el Farnborough Airshow 2014.
La mayoría de los archivos analizados por FireEye tienen su configuración en idioma ruso, los expertos confirmaron "que una parte importante de la APT28 malware ha sido compilada en un entorno de compilación en ruso consistentemente a lo largo de seis años."
Como suele ocurrir en estos casos, con el fin de perfilar el atacante los investigadores analizaron los tiempos de compilación y descubrieron que estaban alineados con las horas de trabajo en Moscú y San Petersburgo, otro elemento que sugiere la participación de un equipo con sede en Rusia. Casi el 96 por ciento del malware ha sido compilado entre un lunes y viernes durante un 08 a.m.-6 p.m. día de trabajo en la zona horaria de Moscú.
Rusia tiene una larga historia de uso de las operaciones de información para sembrar desinformación y la discordia, y para confundir a la situación de una manera que podría beneficiarlos ", agregó Weedon. "En este caso, es posible que el ciber califato ISIS podría ser una distracción. Esto podría ser una prueba para ver si podían sacar un ataque coordinado contra un medio de comunicación que resultó en la detención de las emisiones, y detener la difusión de noticias.Cualquiera que haya sido la intención o la agenda escondida detrás de este ataque, fue satisfactorio pues el reporte es mera especulación y en un ambiente tan hostil, como lo es el ciberespacio, se puede atacar en nombre de lo que a uno le parezca.
