Il 24 febbraio, quasi contemporaneamente all’inizio dell’invasione dell’Ucraina da parte dei russi, Viasat ha registrato un attacco informatico contro il servizio satellitare KA-SAT, utilizzato dai militari ucraini e da migliaia di utenti in Europa. L’azienda californiana ha ora fornito maggiori dettagli sull’accaduto e le soluzioni adottate, tra cui la sostituzione dei modem.
Quasi 30.000 modem fuori uso
Il cyberattacco, sul quale indaga anche la NSA, ha causato la parziale interruzione del servizio satellitare a banda larga KA-SAT, in particolare della partizione gestita da Skylogic, sussidiaria di Eutelsat. Il 24 febbraio è stato rilevato un elevato volume di traffico verso i modem Tooway SurfBeam2 e SurfBeam 2+ di utenti ucraini. Viasat e Skylogic hanno osservato successivamente un diminuzione degli accessi alla rete anche in altri paesi europei, causata dall’attacco DDoS.
L’azienda californiana spiega che i cybercriminali sono riusciti da accedere alla rete KA-SAT, sfruttando l’errata configurazione di una appliance VPN. Utilizzando il sistema di gestione della rete hanno successivamente inviato ai modem comandi distruttivi che hanno sovrascritto i dati nella memoria flash. Ciò ha impedito ai modem di accedere alla rete.
Anche se potevano essere ripristinati con un reset di fabbrica, Viasat ha consegnato ai distributori locali quasi 30.000 modem sostitutivi. Sono state inoltre attuate misure per prevenire simili incidenti. L’indagine è ancora in corso (con l’aiuto di Mandiant) e le forze dell’ordine sono costantemente aggiornate.
Viasat sottolinea che lo scopo dell’attacco era interrompere il servizio che viene utilizzato anche dai militari ucraini. I cybercriminali (quasi certamente russi) non hanno sottratto i dati degli utenti, né compromesso il satellite KA-SAT e le infrastrutture di terra.