Хакери зламали супутник KA-SAT, що розташований за більш ніж 22 000 миль над Землею. Він рухається зі швидкістю 7000 миль на годину, синхронно з обертанням планети, та передає високошвидкісний Інтернет людям по всій Європі. Як це відбулося, хто винен та які ситуація матиме наслідки, розписав Wired. dev.ua публікує адаптований переклад тексту.
Хакери зламали супутник KA-SAT, що розташований за більш ніж 22 000 миль над Землею. Він рухається зі швидкістю 7000 миль на годину, синхронно з обертанням планети, та передає високошвидкісний Інтернет людям по всій Європі. Як це відбулося, хто винен та які ситуація матиме наслідки, розписав Wired. dev.ua публікує адаптований переклад тексту.
З 2011 року супутник допомагає домогосподарствам, підприємствам і військовим підключатися до інтернету. Однак, коли російські війська ввійшли в Україну вранці 24 лютого, супутникове з’єднання з Інтернетом було порушено. Загадкова кібератака на наземну інфраструктуру супутника, а не на сам супутник, занурила десятки тисяч людей у темряву інтернету.
Серед них були й військові частини України. «Це була справді величезна втрата зв’язку на самому початку війни», — заявив через два тижні після інциденту Віктор Жора, старший посадовець українського агентства з кібербезпеки Державної служби спеціального зв’язку та захисту інформації (ДССЗІП). Більше подробиць він не надав. Але атака на систему супутникового інтернету, що належить американській компанії Viasat, з минулого року, мала ще ширші наслідки. Люди, які користуються супутниковим інтернетом, були виведені з мережі по всій Європі — від Польщі до Франції.
Майже через місяць після нападу росії на Україну зриви зв’язку тривають. Тисячі людей досі залишаються в автономному режимі в Європі — близько 2000 вітрових турбін все ще відключені в Німеччині — і компанії намагаються замінити зламані модеми або виправити з’єднання за допомогою оновлень. Кілька спецслужб, у тому числі в США та Європі, також розслідують напад.
Злам Viasat, можливо, є найбільшою публічно відомою кібератакою, яка мала місце з моменту вторгнення росії в Україну, і вона виділяється своїм впливом за межами України.
Але питання щодо деталей нападу, його мети та того, хто її здійснив, залишаються, хоча експерти мають свої підозри.
Супутникове підключення до інтернету часто використовується в районах з низьким покриттям кабелю, і ним користуються як звичайні громадяни, так і офіційні організації. Налаштування відрізняється від типової домашньої чи офісної мережі Wi-Fi, яка в основному покладається на дротове широкосмугове підключення. «Супутниковий зв’язок складається з трьох основних компонентів», — каже Летиція Чезарі Заркан, консультантка Інституту досліджень ООН з роззброєння та докторантка Люксембурзького університету. По-перше, це космічний корабель, який знаходиться на орбіті, який використовується для відправки «точкових променів» назад на Землю; ці промені забезпечують покриття інтернетом певних ділянок землі. Ці промені потім вловлюються супутниковими антенами на землі. Їх можна прикріпити до боків будівель або на літаках для живлення Wi-Fi в польоті. І, нарешті, є наземні мережі, які обслуговуються людьми, які можуть налаштовувати їх. «Наземна мережа — це сукупність наземних станцій, підключених до інтернету за допомогою волоконно-оптичних кабелів», — каже Заркан.
Окрім коментаря Жори, українська влада залишалася мовчазною щодо нападу. Однак супутниковий зв’язок, також відомий як сатком, здається, часто використовується в країні. В Україні найпрозоріша у світі система відстеження державних витрат, і численні державні контракти показують, що SSSCIP та поліція придбали цю технологію. Наприклад, під час виборів в Україні 2012 року для моніторингу голосування було використано понад 12 000 точок супутникового інтернету, свідчать офіційні документи, помічені європейською фірмою з кібербезпеки SEKOIA.IO.
«Щоб порушити супутниковий зв’язок, більшість людей — і я в тому числі — дивилися б на сигнал у космосі, оскільки він відкритий», — каже Пітер Лемме, авіаційний спеціаліст, який також пише про супутниковий зв’язок. — Ви можете передавати сигнали в бік супутника, що ефективно перешкоджатиме його здатності приймати сигнали від законних модемів».
Ілон Маск стверджував, що супутникові системи Starlink, які він надіслав в Україну, зазнали атак глушіння.
Однак атака на Viasat могла не включати глушіння.
За словами представника Viasat Кріса Філіпса, атака на мережу була «навмисною, ізольованою та зовнішньою кіберподією». Атака вплинула лише на клієнтів фіксованого широкосмугового доступу та не викликала збоїв у роботі авіакомпаній чи урядових клієнтів Viasat у США, каже компанія, і жодні дані клієнтів не постраждали.
Однак модеми людей не змогли підключитися до мережі, і вони були «приведені в непридатність».
У вівторок голова Viasat Марк Данкберг заявив на супутниковій конференції, що компанія придбала KA-SAT в Європі минулого року, а її клієнтська база все ще обслуговується третьою стороною в рамках переходу. «Ми вважаємо, що цій конкретній події можна було запобігти, але в цьому випадку у нас не було такої можливості», — сказав Данкберг, підтвердивши, що тисячі модемів були виведені з мережі. «У більшості випадків модеми, які вийшли з мережі, потрібно замінити. Їх можна відновити, тому ми переробляємо модеми», — сказав Данкберг.
«На сьогодні немає жодних доказів пошкодження супутника KA-SAT, інфраструктури базової мережі або шлюзів через цей інцидент», — йдеться у заяві Філліпса. Натомість Viasat стверджує, що кібератака сталася через неправильну конфігурації в «секції управління» мережі, як повідомляє Reuters.
У компанії відмовилися надати будь-які подробиці про технічну природу інциденту, посилаючись на те, що розслідування триває. Viasat каже, що зараз зосереджений на відновленні після часткового відключення.
Жоден уряд офіційно не приписував напад росії до порушення зв’язку в Україні. Данкберг сказав CNBC у понеділок, що він не може підтвердити, чи стоїть росія за атакою, і що джерелом такої інформації будуть уряди. Рідко буває, коли уряди швидко приписують кібератаки певній країні чи суб’єкту, оскільки розслідування є складним і вимагає часу для завершення.
Однак західні чиновники кажуть, що напад відповідає російським правилам. «Якби це в кінцевому підсумку приписувалося росії, це дуже відповідало б тому, що ми очікуємо від них, а саме використовувати свої кіберспроможності для підтримки своєї військової кампанії», — сказали західні чиновники журналістам під час останнього брифінгу.
Агентство національної безпеки США (АНБ) і ANSSI, французьке агентство кібербезпеки, розслідують злам. Федеральне бюро розслідувань США опублікувало рекомендацію Агентства з кібербезпеки та безпеки інфраструктури США (CISA), яка попереджає про хакерські атаки.
«CISA як і раніше стурбована загрозою для мереж супутникового зв’язку США та їхніх союзників», — заявив у заяві Ерік Голдштейн, виконавчий помічник директора CISA з кібербезпеки.
Загрози зламу для satcom не є новими. У 2014 році дослідник безпеки Рубен Сантамарта опублікував дослідження, яке показало багато способів зламу супутникового зв’язку. У 2018 році подальші дослідження Сантамарти продемонстрували, як це можна зробити — зокрема зосередити увагу на супутникових системах у військових ситуаціях. Сантамарта каже, що, можливо, зловмисники у справі Viasat — хоча їхня особа та мотив невідомі — могли розгорнути шкідливе оновлення мікропрограми, яке саботувало модеми клієнтів.
«У нас є варіант, що передбачуваною метою зловмисників було фактично зламати термінали, щоб вимкнути зв’язок», — каже Сантамарта. — А може, вони очікували розгорнути конкретне корисне навантаження, щоб, можливо, підслуховувати комунікації, і щось пішло не так, і термінали були замуровані. На даний момент ми не знаємо, що сталося насправді».
Хоча багато деталей зламу Viasat все ще не розгадуються — незалежні дослідники з безпеки досліджують код на заблокованих модемах — його вплив широко відчутний. Здається, кібератака є яскравим прикладом поширення, коли атака поширюється навмисно або випадково за межі своєї початкової мети. Протягом кількох місяців до вторгнення росії в Україну експерти з кібербезпеки та уряди попереджали, що побічні втручання є величезною міжнародною загрозою. Наприклад, у червні 2017 року російський вірус NotPetya поширився за межі своїх початкових цілей в Україні та завдав збитків у всьому світі на понад 10 мільярдів доларів.
«Це виглядає як найяскравіший приклад поширення, незалежно від того, чи була це найбільш руйнівна діяльність, яка була здійснена в той час», — кажуть західні чиновники про інцидент з Viasat.
Провайдери супутникового інтернету в Німеччині, Великобританії, Франції, Чехії та інших помітили, що їхні послуги постраждали від відключення. Користувачі на супутниковому інтернет-форумі повідомили про проблеми навіть у Марокко. «Важко прожити тиждень без Інтернету, але якщо немає іншого альтернативного доступу, потрібно просто почекати», — поскаржився один із користувачів у Польщі.
Агентство ЄС з кібербезпеки, яке також розслідує цей інцидент, повідомляє, що йому відомо про 27 000 користувачів, які постраждали від збою.
Однією з перших ознак зламу було вимкнення понад 5800 вітрових турбін німецької енергетичної компанії Enercon. Збій не зупинив обертання турбін, але це означає, що їх не можна зупинити дистанційно, якщо є несправність, каже речник Enercon Фелікс Ревальд. Наразі Enercon вдалося повернути в режим роботи 40 відсотків уражених турбін, і його команди замінюють свої супутникові модеми. «Ми не віримо, що це було націлено на нас чи наших клієнтів. Схоже, ми є свого роду «побічним збитком», — каже Ревальд.
Відновлення після інциденту, ймовірно, займе більше часу. Viasat стверджує, що щодня залучає сотні клієнтів онлайн і надає людям нові модеми або випускає оновлення програмного забезпечення, які можуть виправити їх системи віддалено. Ярослав Стрітецький, генеральний директор чеського інтернет-провайдера INTV, каже, що компанія зв’язувалася з усіма своїми клієнтами саткому, щоб дізнатися, чи потрібні їм нові модеми, і, ймовірно, доведеться замінити більшість тих, які постраждали. Стрітецький каже, що роботи можуть бути завершені до кінця березня. «Питання полягає в тому, чи достатньо нових модемів, щоб забезпечити чи підтримати всіх», — додає він.
Поки що супутники відігравали важливу роль під час війни в Україні. Вони використовувалися для збору розвідувальних даних про переміщення російських військ і забезпечували важливий спосіб спілкування людей. Але навколо зламу можуть виникнути юридичні проблеми.
Альмудена Аскарате Ортега, дослідник Інституту ООН з питань роззброєння, зазначає, що, оскільки супутникові системи використовуються як для цивільних, так і для військових цілей кількома країнами, питання їх відновлення може бути складним з точки зору міжнародного права.
«Якщо ви націлюєтеся на супутник, який надає певні послуги конкретній країні, яка бере участь у конфлікті, ви також можете позбавити нейтральну країну послуг, які надає той самий супутник, таким чином порушуючи це правило нейтралітету», — каже Ортега. За його словами, результативні наслідки атаки на ці інфраструктури можуть мати наслідки, які дуже глибоко відчують цивільні.
