Le fournisseur américain de communications par satellite Viasat a partagé un rapport d’incident concernant la cyberattaque qui a affecté son service haut débit par satellite grand public KA-SAT le 24 février, le jour où la Russie a envahi l’Ukraine.
Le rapport d’incident d’aujourd’hui vient après le réseau satellite KA-SAT – « utilisé intensivement par l’armée ukrainienne« – A été affecté par une cyberattaque qui a déclenché pannes de service par satellite en Europe centrale et orientale.
La panne a également déconnecté les modems utilisés pour contrôler environ 5 800 éoliennes en Allemagne et les clients concernés d’Allemagne, de France, d’Italie, de Hongrie, de Grèce et de Pologne.
Viasat a confirmé aujourd’hui que l’incident avait touché des milliers de clients ukrainiens et des dizaines de milliers d’autres clients haut débit à travers l’Europe.
Cependant, il a ajouté que l’attaque n’avait eu aucun impact sur son gouvernement et sa mobilité gérés directement ou sur les utilisateurs utilisant le satellite KA-SAT ou d’autres réseaux Viasat dans le monde.
« En fin de compte, des dizaines de milliers de modems qui étaient auparavant en ligne et actifs ont abandonné le réseau, et ces modems n’ont pas été observés en train de tenter de réintégrer le réseau », a expliqué Viasat.
Violation via une « intrusion dans le réseau au sol »
Viasat affirme que les attaquants ont détruit les modems résidentiels des clients en violant le réseau de gestion et en émettant des commandes de gestion pour écraser la mémoire flash des appareils, les rendant incapables de se reconnecter au réseau mais ne les bloquant pas complètement.
« Une enquête et une analyse médico-légale ultérieures ont identifié une intrusion de réseau au sol par un attaquant exploitant une mauvaise configuration dans un appareil VPN pour obtenir un accès à distance au segment de gestion de confiance du réseau KA-SAT », a ajouté Viasat.
« L’attaquant s’est déplacé latéralement à travers ce réseau de gestion de confiance vers un segment de réseau spécifique utilisé pour gérer et exploiter le réseau, puis a utilisé cet accès au réseau pour exécuter simultanément des commandes de gestion légitimes et ciblées sur un grand nombre de modems résidentiels. »
En conséquence directe de cette attaque, des dizaines de milliers de modems en ligne ont abandonné le réseau KA-SAT et n’ont pas pu rejoindre le réseau.
Cet incident a affecté la grande majorité des modems précédemment actifs en Ukraine et un nombre important de modems dans d’autres parties de l’Europe.
Près de 30 000 modems expédiés pour rétablissement du service
Depuis l’attaque de février 2022, Viasat a expédié près de 30 000 modems pour remettre les clients en ligne et continue de fournir plus de modems pour accélérer la restauration du service pour les clients touchés.
« Nous pensons que le but de l’attaque était d’interrompre le service », a déclaré le fournisseur de communications par satellite. mentionné.
« Il n’y a aucune preuve que les données de l’utilisateur final ont été consultées ou compromises, ni que l’équipement personnel du client (PC, appareils mobiles, etc.) n’a pas été consulté de manière inappropriée, ni aucune preuve que le satellite KA-SAT lui-même ou son satellite de support l’infrastructure elle-même ont été directement impliquées, altérées ou compromises. »
Le gouvernement américain enquête actuellement sur le piratage de Viasat comme une cyberattaque potentielle parrainée par l’État russe. La NSA mentionne un effort inter-agences et allié (y compris les services de renseignement ukrainiens) pour « évaluer l’étendue et la gravité de l’incident ».
La CISA et le FBI ont également publié un avis conjoint avertissant les organisations américaines des « menaces possibles » pour les réseaux de communication par satellite (SATCOM) aux États-Unis et dans le monde.