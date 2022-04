Americký poskytovatel satelitního internetového připojení Viasat poskytl další informace o kybernetickém útoku, který 24. února, v den zahájení ruské invaze na Ukrajinu, postihl jeho službu KA-SAT. Služba byla „intenzivně využívaná ukrajinskou armádou“ a útok způsobil její výpadky v celé střední a východní Evropě.

Následkem výpadku došlo k odpojení modemů používaných k ovládání zhruba 5 800 větrných turbín v Německu. Nedostupnost služeb se pak dotkla zákazníků z Německa, Francie, Itálie, Maďarska, Řecka a Polska. Viasat potvrdil, že incident postihl tisíce ukrajinských zákazníků a desítky tisíc dalších klientů v celé Evropě.

Útok na satelitní internet

Útočníci vyřadili modemy zákazníků tak, že pronikli do sítě pro jejich administraci a zadali příkazy, kterými přepsali flash paměti zařízení. Tím znemožnili jejich opětovné připojení k síti, ale nezpůsobili úplné zablokování. „Ve finále ze sítě vypadly desítky tisíc modemů, které byly předtím online a aktivní, a u těchto modemů nebyl zaznamenán pokus o opětovné připojení k síti,“ vysvětlil poskytovatel.

„Následné vyšetřování a forenzní analýza zjistily, že útočník pronikl do pozemní infrastruktury sítě a využil chybné konfigurace zařízení VPN k získání vzdáleného přístupu do důvěryhodného segmentu správy sítě KA-SAT,“ vysvětlil Viasat.

Útočník se přes důvěryhodnou síť dostal do segmentu používaného ke správě a poté tento přístup zneužil k rozeslání legitimních, cílených příkazů na velký počet modemů současně. V důsledku útoku vypadly desítky tisíc modemů ze sítě a nebyly schopné se do ní znovu zapojit. Zasažena byla naprostá většina modemů na Ukrajině a značný počet v jiných částech Evropy. „Domníváme se, že cílem útoku byla snaha o přerušení služby,“ uvedl poskytovatel.

Vyšetřování pokračuje

Dobrou zprávou je, že modemy lze plně zprovoznit pomocí obnovení do továrního nastavení. Viasat doposud nemá žádné důkazy o tom, že by při útoku byl použit nebo narušen standardní software modemu nebo distribuční či aktualizační procesy. Od útoku firma rozeslala svým zákazníkům téměř 30 tisíc modemů. Dle dostupných informací Viasat flashuje do stažených modemů oficiální firmware a následně je odesílá klientům.

Neexistují žádné důkazy o tom, že by byla zpřístupněna nebo ohrožena data koncových uživatelů, ani že by došlo k neoprávněnému přístupu k osobním zařízením zákazníků (počítačům, mobilním telefonům, atd.). Stejně tak nic nenasvědčuje tomu, že by byl přímo zasažen, poškozen nebo jakkoli ohrožen samotný satelit KA-SAT či jeho podpůrná pozemní satelitní infrastruktura.

Americké orgány nyní vyšetřují incident jako potenciální kybernetický útok sponzorovaný ruskou vládou. Národní bezpečnostní agentura (NSA) zmiňuje spolupráci s dalšími agenturami a spojenci (včetně ukrajinských zpravodajských služeb), jejímž cílem je „posoudit rozsah a závažnost incidentu“.