Cyberattaque Viasat (KA-SAT) : enfin des explications, mais encore beaucoup de brouillard

Cyberattaque Viasat (KA-SAT) : enfin des explications, mais encore beaucoup de brouillard

SATCOM de crise

Avatar de l'auteur
Sébastien Gavois

Publié dans

Hardware

01/04/2022 13 minutes
2

Cyberattaque Viasat (KA-SAT) : enfin des explications, mais encore beaucoup de brouillard

Cette cyberattaque, lancée au début de l'invasion russe de l'Ukraine, aurait affecté des dizaines de milliers de clients, mais pas les gouvernementaux. L’attaque pourrait être soutenue par la Russie, mais on ne sait pas encore dans quelle mesure elle aurait pu dégrader les efforts de la résistance ukrainienne. Eutelsat, incriminée plus ou moins directement par Viasat, se défend. 

L'entreprise américaine de télécommunications par satellite Viasat vient (enfin) de communiquer sur la cyber-attaque dont elle a été victime le 24 février, alors que l'armée russe commençait à envahir l'Ukraine.

Résumé des épisodes précédents

Le général de brigade aérienne Michel Friedling, du Commandement de l'espace, avait confirmé lors du point Presse du ministère des Armées du jeudi 3 mars 2022, qu' « un réseau satellitaire qui couvre notamment l'Europe et l'Ukraine a été victime d'une attaque cyber avec des dizaines de milliers de terminaux rendus inopérants ».

 


Le 12 mars, Reuters révélait que « des analystes de la NSA, de l'ANSSI et des services de renseignement ukrainiens évalu[aient] si le sabotage à distance du service d'un fournisseur d'accès Internet par satellite était l'œuvre de pirates informatiques soutenus par l'État russe préparant le champ de bataille en tentant de rompre les communications » :

« Le blitz numérique sur le service satellite a commencé le 24 février entre 5 et 9 heures du matin, juste au moment où les forces russes ont commencé à entrer et à tirer des missiles, frappant de grandes villes ukrainiennes, dont la capitale, Kiev. »

Les contrats gouvernementaux examinés par Reuters montraient que le satellite KA-SAT avait « fourni une connectivité Internet aux unités militaires et policières ukrainiennes ». Au cours des dernières années, les services militaires et de sécurité ukrainiens avaient acheté plusieurs systèmes de communication différents qui fonctionnent sur le réseau de Viasat, selon des contrats publiés sur ProZorro, une plateforme de transparence ukrainienne.

Viasat avait alors engagé la société américaine de cybersécurité Mandiant, spécialisée dans le suivi des pirates informatiques parrainés par un État pour enquêter sur l'intrusion, selon deux personnes proches du dossier.

« Ce fut une énorme perte de communications au tout début de la guerre », avait déclaré Viktor Zhora, un haut responsable de l'agence ukrainienne de cybersécurité, les Services d'État pour la protection spéciale des communications et de l'information (SSSCIP). Il avait cela dit refusé d'en dire plus, le sujet étant « hautement classifié ».

Le 16 mars, Viasat déclarait que la cyberattaque, décrite comme « délibérée, isolée et externe », n'avait pas affecté les clients du gouvernement américain. L'entreprise ne s'est pas prononcée sur ses clients du gouvernement ukrainien ni d'autres pays.

Le lendemain, la Cybersecurity and Infrastructure Security Agency (CISA) et le FBI se disaient « conscients des menaces possibles pour les réseaux de communication par satellite américains et internationaux (SATCOM) », et publiait une alerte visant à renforcer la cybersécurité des fournisseurs et clients de ces réseaux.

Reuters a depuis rapporté que 5 800 éoliennes de la société allemande Enercon, représentant une capacité totale de 11 gigawatts (GW), avaient été déconnectées, empêchant leur surveillance et contrôle à distance. Il n'y avait cela dit « aucun risque pour les turbines car elles continuaient à fonctionner en "mode automatique" », avait déclaré la société. « Nous ne pensons pas que cela nous visait ou nos clients. Il semble que nous soyons en quelque sorte des "dommages collatéraux" », avait expliqué son porte-parole à Wired.

L'organisme allemand de surveillance de la cybersécurité, le BSI, qui travaillait avec les fournisseurs concernés des réseaux de communication par satellite pour résoudre la perturbation, estimait que la cyber-attaque avait affecté « environ 30 000 terminaux satellites utilisés par des entreprises et des organisations de divers secteurs à travers l'Europe ». BigBlu, l'un des distributeurs de Viasat, a depuis expliqué que les modems devraient être remplacés, car « rendus inutilisables ».

La semaine passée, un mois tout juste après l'attaque, des analystes du renseignement américain avaient « conclu que des pirates informatiques du service d'espionnage militaire russe, le GRU, étaient à l'origine de la cyberattaque », rapportait le Washington Post.

Le spécialiste des conflits cyber Thomas Rid relève sur Twitter qu' « il semble que la cyberattaque Viasat/KA-SAT était nettement moins sophistiquée et a nécessité moins de préparation que prévu (pas de compromission sur la chaîne d'approvisionnement, pas de micrologiciel modifié, pas de dommages irréparables) ».

L'entreprise, qui n'avait jusque-là distillé que des bribes d'information dans la presse, sans fournir de retour sur l'incident, vient en effet de publier un retour d'expérience à ce sujet, qui qualifie la cyber-attaque de « délibérée et multiforme ». Nous avons également contacté Eutelsat, qui nuance fortement certains propos de Viasat. Explications.

Les utilisateurs gouvernementaux n'auraient pas été affectés

La cyber-attaque visait le réseau exploitant KA-SAT de Viasat, premier satellite européen entièrement dédié à l'accès Internet par satellite à haut débit pour l'Europe, conçu pour couvrir les zones blanches et lancé fin 2010. Construit par Astrium pour l'entreprise européenne Eutelsat, il est opéré par Viasat depuis le rachat d'Euro Broadband Infrastructure Sarl (EBI), l'activité de services haut débit de gros créée par Viasat et Eutelsat en avril 2021.

Selon Viasat, l'« incident » ne concernerait qu’un seul segment du réseau KA-SAT. Il est destiné au grand public en Europe et exploité par une filiale d'Eutelsat : Skylogic. Ce qui explique que des clients Tooway, Nordnet (filiale d’Orange) et de BigBlu (filiale d’Eutelsat) sont touchés. 

L'attaque a entraîné « une interruption partielle du service haut débit par satellite ». Si la plupart des utilisateurs n'ont pas été affectés, la cyber-attaque « a eu un impact sur plusieurs milliers de clients situés en Ukraine et sur des dizaines de milliers d'autres clients de services fixes haut débit en Europe ».

Viasat affirme que « cette cyber-attaque n'a pas eu d'impact sur les utilisateurs gouvernementaux ou mobiles géré directement par Viasat sur le satellite KA-SAT. De même, elle n'a pas affecté les utilisateurs des autres réseaux Viasat dans le monde ». Bref, seuls les clients passant par Skylogic/Eutelsat seraient donc concernés.

Contacté, le service presse d’Eutelsat nous explique que « le segment terrestre et l’ensemble du réseau KA-SAT appartient bien à Viasat, Eutelsat fourni des services de support sur le segment terrestre ». Pour simplifier, la partie hardware appartient à Viasat et Eutelsat propose du software. 

Le but de l’attaque aurait été « d’interrompre le service »

Suite à la cyberattaque, la stabilisation du réseau et les mesures d'atténuation « ont commencé immédiatement. Le réseau était en grande partie stabilisé en quelques heures, puis entièrement en plusieurs jours », affirme l’entreprise américaine.

« Viasat a également pris des mesures opérationnelles proactives pour s'assurer que d'autres applications essentielles de back-office et les services de rapport et d'analyse n'étaient pas touchés. Ces mesures étaient strictement préventives et Viasat a surveillé l'activité du réseau », ajoute la société. 

Elle explique travailler avec Mandiant, « leader de la réponse aux incidents et de la criminalistique », Eutelsat/Skylogic, « ainsi qu'avec les forces de l'ordre et les agences gouvernementales américaines et internationales » pour mener une enquête, qui est d’ailleurs toujours en cours.

Viasat se veut rassurante : « Nous pensons que l'objectif de cette attaque était d'interrompre le service. Rien ne prouve que les données des utilisateurs aient été consultées ou compromises, ni que l'équipement des clients (PC, appareils mobiles, etc.) ait fait l'objet d'un accès inapproprié. Rien ne prouve non plus que le satellite KA-SAT ou son infrastructure terrestre ait été directement impliqués, altéré ou compromis ».

Viasat travaille évidemment « en étroite collaboration avec ses distributeurs pour remettre leurs clients en ligne ». La société précise que, « en raison de la nature de l'activité de gros, Viasat ne traite généralement pas directement avec les utilisateurs finals ». Une manière polie de renvoyer les utilisateurs touchés vers leur fournisseur de service, qui est le seul à pouvoir « identifier les personnes touchées afin de fournir une solution pour rétablir le service ».

« Certains modems de clients ont rapidement reçu des mises à jour, mais lorsqu’elles n’étaient pas suffisantes pour rétablir le service en temps voulu, de nouveaux modems ont été fournis, car c’est le moyen le plus efficace pour rétablir le service. Viasat a déjà expédié des dizaines de milliers de modems de remplacement aux distributeurs et est prêt à en envoyer d’autres si besoin. »

Les modes, ça s’en va et  ça revient…

Dans son « résumé de l'incident », l’entreprise explique que dans la nuit du 24 février « d'importants volumes de trafic malveillant ciblé ont été détectés ». Ils provenaient de modems SurfBeam2(+) et d’équipements « situés physiquement en Ukraine » et utilisés sur « l'une des partitions de réseau KA-SAT destinées aux consommateurs »… celle utilisée par Skylogic pour ne pas la citer.

S’est ensuite engagé un jeu du chat et de la souris entre Viasat et les pirates. Les premiers tentaient de contenir la situation et de mettre hors ligne les modems incriminés, mais de nouveaux apparaissaient régulièrement sur le réseau. Cela permettait à l’attaque de continuer de plus belle, tout en réduisant « la capacité des modems légitimes à se connecter ou à rester actifs sur le réseau ».

« À peu près au même moment », Viasat et Skylogic ont commencé à observer « un déclin progressif du nombre de modems connectés dans ce segment [de KA-SAT] à vocation commerciale ». « En fin de compte, des dizaines de milliers de modems qui étaient auparavant en ligne et actifs ont quitté le réseau, et ils n'ont plus été observés en train d’essayer de se reconnecter. L'attaque a touché la majorité des modems précédemment actifs en Ukraine, et un nombre important de modems supplémentaires dans d'autres parties de l'Europe ».

Des modems « effacés »… un acteur russe aux commandes ? 

Viasat met en avant « une intrusion dans le réseau terrestre par un attaquant qui a exploité une mauvaise configuration d'un appareil VPN », puis il aurait profité de « cet accès au réseau pour exécuter simultanément des commandes ciblées sur un grand nombre de modems résidentiels. Plus précisément, ces commandes destructives ont écrasé des données clés dans la mémoire flash des modems, rendant les modems incapables d'accéder au réseau, mais pas définitivement inutilisables ».

Viasat se cache bien d’en parler, mais le problème sur les modems semblerait venir d’une faille dans leur firmware. Des « chercheurs de SentinelOne ont déclaré avoir découvert un "wiper" pour modem et l’ont baptisé AcidRain ».

Ils ajoutent que ce dernier aurait des points communs avec VPNFilter, un autre logiciel malveillant qui a infecté plus de 500 000 modems de clients grand public et de petites entreprises aux États-Unis, explique Ars Technica. Selon plusieurs agences gouvernementales américaines (FBI, NSA…), la paternité de VPNFilter reviendrait à des acteurs étatiques russes.

Dans une déclaration reprise par Ars Technica, Viasat confirme l’analyse de SentinelLabs, « cohérente avec les faits de notre rapport ». Cela expliquerait notamment l’effacement de la mémoire flash des modems.

« Viasat présente des hypothèses comme des faits »

Quoi qu’il en soit, Viasat dit avoir effectué une analyse exhaustive des modems touchés, et « confirme l'absence d'anomalies ou d'impacts sur les composants électriques […] l'absence de preuve de compromission ou d'altération des images du logiciel ou du micrologiciel des modems Viasat et l'absence de preuve d'interférence dans la chaîne d'approvisionnement ».

Eutelsat n’est pas sur la même longueur d’onde et nuance : « Le rapport de Viasat présente des hypothèses comme des faits ». Pour l’entreprise française, la mauvaise configuration VPN est une hypothèse, mais pas encore confirmée. Viasat parle d’une attaque par déni de service dans son billet de blog, mais là aussi il serait encore trop  tôt pour l’affirmer. « Il est certain que c’est une attaque avec un haut niveau de sophistication, mais c’est s’avancer que parler de mauvaise configuration », affirme Eutelsat. 

Viasat a envoyé 30 000 modems à ses distributeurs

L’entreprise américaine ajoute que « les modems peuvent être entièrement restaurés par une réinitialisation d'usine ». Depuis, Viasat a travaillé avec ses distributeurs « pour rétablir le service à tous les clients dont les modems ont été rendus inopérants » et indique avoir d'ores et « déjà expédié près de 30 000 modems aux distributeurs pour remettre les clients en ligne ».

Un point surprend tout de même, comme s'en étonnent plusieurs sur Twitter : pourquoi expédier 30 000 modems si une réinitialisation peut résoudre le problème. L’explication pourrait être assez simple : la réinitialisation d’usine nécessite d’écrire sur la mémoire flash effacée durant l’attaque, ce qui ne peut pas être fait par un particulier en appuyant sur le bouton reset de son modem. Viasat indique enfin « continuer de fournir des modems fonctionnels aux distributeurs qui en font la demande afin qu'ils puissent rétablir rapidement le service ».

Enfin, Viasat indique collaborer avec Skylogic (et d’autres) pour mettre en œuvre « plusieurs mesures d'atténuation et de rétablissement » du réseau… ce qui est la moindre des choses. Viassat ne souhaite par contre pas entrer davantage dans le détail des mesures pour ne pas faciliter la vie aux attaquants.

Viasat serait toujours attaqué

Les pirates informatiques à l'origine de la cyber-attaque « tentent toujours d'entraver la société américaine de télécommunications Viasat alors qu'elle s'efforce de remettre ses utilisateurs en ligne », a par ailleurs déclaré un responsable de la société – sous anonymat – à Reuters peu avant la publication du rapport officiel de son employeur.

Il précise que Viasat résistait jusqu'à présent aux pirates avec des mesures défensives, mais que « nous avons vu des tentatives répétées de cet attaquant pour modifier ce modèle afin de tester ces nouvelles atténuations et défenses ».

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Résumé des épisodes précédents

Les utilisateurs gouvernementaux n'auraient pas été affectés

Le but de l’attaque aurait été « d’interrompre le service »

Les modes, ça s’en va et  ça revient…

Des modems « effacés »… un acteur russe aux commandes ? 

« Viasat présente des hypothèses comme des faits »

Viasat a envoyé 30 000 modems à ses distributeurs

Viasat serait toujours attaqué

Commentaires (2)



Reuters a depuis rapporté que 5 800 éoliennes de la société allemande Enercon




Entre ça et les Audi e-tron, va vraiment falloir que l’industrie allemande pense à renouveler ses départements marketing…


Enercon Quichotte va. :-D