Атака на спутниковую сеть KA-Sat: эксперты ищут истоки

По мнению экспертов, нарушение работы тысяч терминалов KA-Sat 9a в нескольких европейских странах можно объяснить только атакой на центральный Центр эксплуатации сети (NOC). Тот факт, что затронуты терминалы в разных странах, объясняется организацией работы сети. Остаются невыясненными различные модели повреждений на модемах разных классов и цели атаки, которая произошла параллельно с началом российского вторжения в Украину.

KA-Sat обеспечивает Европу и Средиземноморский регион спутниковым интернетом и, благодаря своей независимости от наземной инфраструктуры, также используется для подключения технических объектов в отдаленных районах. Среди прочего, была ограничена эксплуатация тысяч ветряных турбин. Ветряные турбины все еще работали и вырабатывали электроэнергию, но они больше не были доступны для удаленного мониторинга и управления, сообщалось в начале этого месяца.

Первоначально оператор Viasat сообщил о «киберсобытии», но затем американская компания подтвердила Федеральному управлению по информационной безопасности Германии (BSI), что это была атака. Андреас Кнопп из Университета федеральных вооруженных сил в Мюнхене объясняет, что независимость от наземной инфраструктуры в настоящее время делает спутниковый интернет важнейшим средством связи и в Украине. Один из 82 «точечных лучей» KA-Sat расположен над Киевом.

На сегодняшний день у Viasat нет разрешения на подключение операторов к сети, подтверждает Bernhard Neumeyer, генеральный директор IPcopter. Компания оснащает пожарные бригады спутниковыми системами для экстренной связи. Его собственный модем Spotbeam 2 Plus работает в обычных тестах, но модем пострадавшего клиента показывает только слабые светодиодные индикаторы.

Ни DDoS, ни EM, ни Terminal Zero Day

Испанский исследователь безопасности Ruben Santamarta первым представил более подробную гипотезу для объяснения атаки, которая наблюдается с 24 февраля. Согласно его собственным исследованиям, он предполагает, что сеть KA-Sat работает для всех, чей модем не был поврежден во время атаки. По его информации, пользователи в Испании и Португалии в любом случае не пострадали. В частности, пострадали пользователи в Украине, Германии, Греции, Венгрии и Италии.

В своем анализе Santamarta приходит к выводу, что атака на спутниковую сеть должна была быть направлена на центральный пункт. В конечном счете, это единственный способ объяснить кажущееся случайным распределение в сети американского оператора. DDoS-атаки недостаточно, чтобы объяснить тысячи или даже десятки тысяч неисправных или только дергающихся модемов. Учитывая распространение, электромагнитный импульс также очень маловероятен, как и прямой захват терминалов спутниковой связи, например, через уязвимости нулевого дня. Скорее, потребуется контроль на центральном шлюзе или в NOC для компрометации подключенных устройств, например, с помощью вредоносного кода или обновления программного обеспечения.

Нападение на центральный NOC

Интеллект в сети KA-Sat сосредоточен в центральном NOC, объясняет Thomas Lohrey, бывший соразработчик спутникового доступа в Интернет через KA-Sat в Eutelsat. Терминалы, состоящие из спутниковой антенны и модема, управляются через шлюзы, расположенные по всей Европе. Оттуда регулярно импортируются обновления программного обеспечения. Терминалы получают обновления только в том объеме, в котором модем перезагружается после автоматически запускаемых загрузок.

Атака через обновление программного обеспечения, как подозревает Santamarta, означает, что злоумышленники распространили бы свой вредоносный код через NOC. На запрос heise online ответственному техническому менеджеру Eutelsat в Турине пока нет ответа. Как и Viasat, Eutelsat, дочерняя компания, ответственная за NOC, держится в тени.

С помощью пулемета

В итоге только оператор NOC смог прояснить, почему пострадала только часть сети KA-Sat и какая именно часть. О том, какие услуги в Украине были затронуты, известно немного.

Целенаправленная атака на терминалы только в одной стране вряд ли возможна из-за структуры сети KA-Sat. Каждый шлюз отвечает за десять точечных лучей, охватывающих места в разных странах. Назначение лучей на шлюзы практически осуществляется с помощью рассеивателя, согласно презентации эксперта.

Терминалы, со своей стороны, могут использовать два шлюза в любом случае. Если один из них недоступен, второй предоставляется в качестве резервного. Таким образом, если бы злоумышленники выбрали определенный шлюз для доставки обновления вредоносной программы, пострадали бы терминалы в разных странах, что также было продемонстрировано во время атаки. В то же время модемы в «зоне поражения» атаки также могли просто случайно использовать свой резервный шлюз.

Knopp объясняет, что «хотя лучи относительно независимы друг от друга, сбои не оказывают немедленного влияния друг на друга, если шлюз выходит из строя в результате кибер-атаки, это затрагивает все лучи, подключенные к нему«. Поэтому может быть так, что русские на самом деле хотели отключить интернет в Украине, но при этом отключили от интернета ветряные турбины в Центральной Европе, предполагает Knopp.

Поврежденные модемы

Атака через центральный NOC была бы масштабным инцидентом, говорит Lohrey, и «тогда возможны многие виды повреждений терминалов». Например, обновление программного обеспечения может записать в терминалы неправильный выбор частоты. После этого терминалы больше не находят спутник и практически парализованы.

Также возможно, что новое программное обеспечение вмешивается во внутреннее управление напряжением модемов и, например, нарушает чувствительные высокочастотные процессы, включая и выключая их, или ускоряет «процесс старения», так что оборудование быстро сдает позиции. Такие повреждения соответствуют наблюдениям на сайте IPcopter, где эксперт Ноймайер говорит о модеме, светодиоды которого только дергаются.

Что можно считать с одного из поврежденных модемов из Германии, в настоящее время также исследуется в лаборатории Heise. Viasat должен учесть лазейку, через которую злоумышленники могли проникнуть в NOC. Политики из службы безопасности и военные могут ломать голову над мотивом и политическим значением.

Интересное на эту тему: Оптимизация Windows 11: Вы должны обновить эти 11 бесплатных инструментов