Jak hakerom udało się zniszczyć sieć Internetu satelitarnego Viasat?

dodano: 2023-08-17 14:12 | aktualizacja: 2023-08-23 10:23
autor: Dr Hack | źródło: NSA/Viasat/Blackhat

Amerykańska Agencja Bezpieczeństwa Narodowego (NSA) wraz z dostawcą Internetu satelitarnego - Viasat, ujawniły nowe szczegóły głośnego cyberataku na firmę Viasat, który miał miejsce w zeszłym roku. Przypomnijmy, że cyberatak w lutym 2022 r. wyłączył wiele modemów Viasat KA-SAT w Europie Wschodniej, korzystających z satelity KA-SAT (9°E). Pisaliśmy o tym tu. Miało to również inne konsekwencje, powodując awarię 5800 turbin wiatrowych Enercon w Niemczech i zakłócenie pracy tysięcy firm w całej Europie. Według władz USA i UE atak na firmę Viasat miał charakter czysto geopolityczny. Teraz wychodzą szczegóły dotyczące cyberataku.

Viasat/satkurier.pl

Prosimy o wyłączenie blokowania reklam i odświeżenie strony.

Mark Colaluca, wiceprezes Viasat ds. bezpieczeństwa informacji [Vice President and Chief Information Security Officer (CISO), Viasat Corporate], rozmawiał z Christiną Walter, szefową cyberbezpieczeństwa NSA [Chief, Defense Industrial Base (DIB) Cybersecurity, National Security Agency], na niedawnej konferencji Black Hat. Ujawnili wiele nowych szczegółów na temat cyberataku, podali wnioski wyciągnięte z niego i wiele więcej.

Colaluca zauważył, że sieć KA-SAT firmy Viasat obsługuje ponad 100 tys. klientów w Europie i na Bliskim Wschodzie. Firma oferuje zarówno szerokopasmowy, jak i satelitarny dostęp do Internetu, jednak celem ataku był przede wszystkim kanał szerokopasmowy.

Ujawniono, że działalność firmy Viasat została w rzeczywistości zakłócona przez dwa oddzielne ataki hakerskie.

Według niego jeden z ataków był bardzo wyrafinowany, a hakerzy posiadali dogłębną wiedzę na temat działania sieci Viasat. Jednak w przypadku kolejnego ataku osoby atakujące nie musiały podejmować dużego wysiłku ze względu na obecność luk w infrastrukturze firmy.

Na przykład 23 lutego 2022 r. hakerzy zaatakowali centrum dyspozytorskie Viasat w Turynie we Włoszech, włamując się do sieci VPN, która zapewniała dostęp do sieci administratorom i operatorom firmy. O godz. 17:00 czasu lokalnego, po kilku nieudanych próbach, hakerom w końcu udało się dostać do korporacyjnej sieci VPN.

Następnie uzyskali dostęp do serwerów zarządzających, co dało im wgląd w informacje m.in. o liczbie pracujących modemów firmy.

Kilka godzin później hakerzy uzyskali dostęp do innego serwera, który dostarczał aktualizacje oprogramowania do modemów, co pozwoliło im wgrać vipera, który zablokował od 40 do 45 tys. modemów (wiele z nich nigdy nie wznowiło działania). Wszystko to zostało zrobione tylko w ramach pierwszego ataku hakerów.

Jednym z powodów, dla których Viasat miał trudności z udzieleniem szczegółowych informacji na temat ataku, był fakt, że prawie wszystkie modemy, których dotyczy problem, znajdowały się w Europie, podczas gdy siedziba firmy znajdowała się w Stanach Zjednoczonych. Produkty Viasat sprzedawane są za pośrednictwem dystrybutorów, którzy instalują je u klientów w Europie.

Gdy Viasat zaczął werbować NSA do pomocy, rozpoczął się drugi cyberatak.

Hakerzy zalali systemy Viasat żądaniami, przeciążając serwery. Udało im się przejąć kontrolę nad tysiącami modemów i zablokować system reagowania na incydenty. Atak ten uniemożliwił przywrócenie modemów, przynajmniej w tym okresie.

Kiedy podjęto kroki w celu powstrzymania tego ataku, hakerzy sprytnie zmienili taktykę, atakując określone terminale, aby utrzymać je w trybie offline. Nie sprecyzowano, gdzie znajdowały się te terminale, ale wcześniejsze doniesienia wskazują, że większość z nich znajduje się w Europie Wschodniej, w tym m.in. w Polsce.

Po przywróceniu systemów specjaliści Viasat napotkali kilka innych incydentów i nadal są poddawani okresowym cyberatakom.

Viasat już się zabezpieczył
Teraz Viasat ulepszył swoje zabezpieczenia, więc hakerzy muszą znacznie częściej zmieniać taktykę, aby w jakiś namacalny sposób zaszkodzić infrastrukturze.

Viasat spodziewa się, że hakerzy prędzej czy później powrócą, by powtórzyć ten sam atak. Teraz jednak jest to mało prawdopodobne, ponieważ firma Viasat zbudowała od podstaw nową infrastrukturę, która jest znacznie mniej podatna na ten rodzaj ataków.

Niektóre aspekty ataku są nadal niewytłumaczalne. Nadal nie wiadomo, w jaki sposób atakującym hakerom udało się uzyskać początkowy dostęp do systemu VPN we Włoszech i skąd wiedzieli, że właśnie tam jest słaby punkt.

Na szczęście hakerzy nie wykorzystali zero-day exploit i nie złamali domyślnych haseł.
Viasat podejrzewał nawet, że w firmie ma klasycznego „kreta” i to we włoskim oddziale, który przekazał hakerom wszystkie niezbędne informacje i udzielił dostępu. Dochodzenie nie wykazało, jaka jest prawda.

Źródło: blackhat.com

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.