El 24 de febrero de 2022, un ataque cibernético deliberado contra la red KA-SAT de Viasat resultó en una interrupción parcial del servicio de banda ancha satelital orientado al consumidor de KA-SAT. El ataque afectó a varios miles de clientes ubicados en Ucrania y a decenas de miles de otros clientes de banda ancha fija en toda Europa. Este incidente se localizó en una única partición orientada al consumidor de la red KA-SAT que es operada en nombre de Viasat por una subsidiaria de Eutelsat, Skylogic, en virtud de un acuerdo de transición que Viasat firmó con Eutelsat.
El detalle:
Aproximadamente a las 0302 UTC del 24 de febrero de 2022, se detectaron grandes volúmenes de tráfico malicioso enfocado que emanaba de varios módems SurfBeam2 y SurfBeam 2+ y/o equipos locales del cliente (CPE) asociados ubicados físicamente dentro de Ucrania y atendidos por una de los segmentos de red orientadas al consumidor KA-SAT. Este ataque de denegación de servicio dificultó que muchos módems permanecieran en línea.
Mientras el personal de Viasat interactuaba con el personal de Skylogic para clasificar la situación y trabajaba para forzar la desconexión de los módems maliciosos, surgieron otros módems en la red para continuar con el ataque dirigido, degradando la capacidad de los módems legítimos para ingresar o permanecer activo en la red.
Casi al mismo tiempo, Viasat y Skylogic comenzaron a observar una disminución gradual en la cantidad de módems en línea en la misma partición comercial. Esta disminución gradual de los módems conectados continuó hasta aproximadamente las 0415 UTC, cuando Viasat y Skylogic observaron que un mayor número de módems en gran parte de Europa salían de la red en el transcurso de unos 45 minutos. Todos estos módems son atendidos por la misma partición de servicio orientada al consumidor.
En última instancia, decenas de miles de módems que anteriormente estaban en línea y activos se desconectaron de la red, y no se observó que estos módems intentaran volver a ingresar a la red. El ataque afectó a la mayoría de los módems previamente activos dentro de Ucrania y a una cantidad sustancial de módems adicionales en otras partes de Europa.
La investigación posterior y el análisis forense identificaron una intrusión en la red terrestre por parte de un atacante que aprovechó una configuración incorrecta en un dispositivo VPN para obtener acceso remoto al segmento de administración confiable de la red KA-SAT. El atacante se movió lateralmente a través de esta red de administración confiable a un segmento de red específico utilizado para administrar y operar la red, y luego usó este acceso a la red para ejecutar comandos de administración en una gran cantidad de módems residenciales simultáneamente. Específicamente, estos comandos destructivos sobrescribieron los datos clave en la memoria flash de los módems, lo que hizo que los módems no pudieran acceder a la red.
Los módems de banda ancha residencial afectados utilizan la marca de servicio “Tooway”. Este ataque cibernético no afectó la movilidad administrada directamente por Viasat o los usuarios gubernamentales en el satélite KA-SAT. Del mismo modo, el ciberataque no afectó a los usuarios de otras redes de Viasat en todo el mundo.
Las acciones de estabilización de la red y mitigación de la seguridad comenzaron de inmediato, y la red se estabilizó en gran medida en cuestión de horas y por completo en varios días. Viasat también tomó medidas operativas proactivas para garantizar que otras aplicaciones administrativas esenciales y los servicios de informes/análisis no se vieran afectados. Estas acciones fueron estrictamente precautorias mientras Viasat monitoreaba el comportamiento y la actividad de la red.
Viasat está trabajando en estrecha colaboración con los distribuidores mayoristas para que clientes afectados vuelvan a estar en línea. Debido a la naturaleza mayorista del negocio, Viasat generalmente no realiza transacciones directamente con los usuarios finales; en cambio, los distribuidores trabajan directamente con los clientes finales y pueden identificar a los afectados para brindar asistencia para restaurar el servicio. Ciertos módems de clientes finales recibieron rápidamente actualizaciones inalámbricas, pero cuando dichas actualizaciones no son suficientes para restaurar la funcionalidad a tiempo, se proporcionan nuevos módems como la forma más eficiente de restaurar el servicio. Viasat ya envió decenas de miles de módems de reemplazo a los distribuidores y está listo para enviar módems adicionales según sea necesario.
Más detalles en Viasat.
Comments