Хакеры взломали спутник KA-SAT, расположенный в более чем 22 000 милях над Землей. Он движется со скоростью 7000 миль в час, синхронно с вращением планеты, и передает высокоскоростной Интернет людям по всей Европе. Как это произошло, кто виноват и какие ситуация будет иметь последствия, расписал Wired. dev.ua публикует адаптированный перевод текста.
Хакеры взломали спутник KA-SAT, расположенный в более чем 22 000 милях над Землей. Он движется со скоростью 7000 миль в час, синхронно с вращением планеты, и передает высокоскоростной Интернет людям по всей Европе. Как это произошло, кто виноват и какие ситуация будет иметь последствия, расписал Wired. dev.ua публикует адаптированный перевод текста.
С 2011 года спутник помогает домохозяйствам, предприятиям и военным подключаться к интернету. Однако, когда российские войска вошли в Украину утром 24 февраля, спутниковое соединение с интернетом было нарушено. Загадочная кибератака на наземную инфраструктуру спутника, а не на сам спутник, погрузила десятки тысяч людей во тьму интернета.
Среди них были и воинские части Украины. «Это была действительно огромная потеря связи в самом начале войны», — заявил через две недели после инцидента Виктор Жора, старший чиновник украинского агентства по кибербезопасности Государственной службы специальной связи и защиты информации (ДССЗІП). Больше подробностей он не предоставил. Но атака на систему спутникового интернета, принадлежащую американской компании Viasat с прошлого года, имела еще более широкие последствия. Люди, которые пользуются спутниковым интернетом, были выведены из сети по всей Европе — от Польши до Франции.
Почти через месяц после нападения России на Украину срывы связи продолжаются. Тысячи людей до сих пор остаются в автономном режиме в Европе — около 2000 ветровых турбин все еще отключены в Германии — и компании пытаются заменить сломанные модемы или исправить соединения с помощью обновлений. Несколько спецслужб, в том числе в США и Европе, также расследуют нападение.
Взлом Viasat, возможно, является крупнейшей публично известной кибератакой, которая имела место с момента вторжения россии в Украину, и она выделяется своим влиянием за пределами Украины.
Но вопросы относительно деталей нападения, его цели и того, кто ее осуществил, остаются, хотя у экспертов есть свои подозрения.
Спутниковое подключение к интернету часто используется в районах с низким покрытием кабеля, и им пользуются как обычные граждане, так и официальные организации. Настройка отличается от типичной домашней или офисной сети Wi-Fi, которая, в основном, полагается на проводное широкополосное подключение. «Спутниковая связь состоит из трех основных компонентов», — говорит Летиция Чезаре Заркан, консультант Института исследований ООН по разоружению и докторант Люксембургского университета. Во-первых, это космический корабль, который находится на орбите, который используется для отправки «точечных лучей» обратно на Землю; эти лучи обеспечивают покрытие интернетом определенных участков земли. Эти лучи затем улавливаются спутниковыми антеннами на земле. Их можно прикрепить к бокам зданий или на самолетах для питания Wi-Fi в полете. И, наконец, есть наземные сети, которые обслуживаются людьми, которые могут настраивать их. «Наземная сеть — это совокупность наземных станций, подключенных к интернету с помощью волоконно-оптических кабелей», — говорит Заркан.
Кроме комментария Жоры, украинская власть оставалась молчаливой относительно нападения. Однако спутниковая связь, также известная как сатком, кажется, часто используется в стране. В Украине самая прозрачная в мире система отслеживания государственных расходов, и многочисленные государственные контракты показывают, что SSSCIP и полиция приобрели эту технологию. Например, во время выборов в Украине в 2012 году для мониторинга голосования было использовано более 12 000 точек спутникового интернета, свидетельствуют официальные документы, замеченные европейской фирмой по кибербезопасности SEKOIA.IO.
«Чтобы нарушить спутниковую связь, большинство людей — и я в том числе — смотрели бы на сигнал в космосе, поскольку он открыт», — говорит Питер Лемме, авиационный специалист, который также пишет о спутниковой связи. — Вы можете передавать сигналы в сторону спутника, что эффективно будет препятствовать его способности принимать сигналы от законных модемов».
Илон Маск утверждал, что спутниковые системы Starlink, которые он прислал в Украину, подверглись атакам глушения.
Однако атака на Viasat могла не включать глушения.
По словам представителя Viasat Криса Филлипса, атака на сеть была «преднамеренной, изолированной от внешнего киберсобытия». Атака повлияла только на клиентов фиксированного широкополосного доступа и не вызвала сбоев в работе авиакомпаний или правительственных клиентов Viasat в США, говорит компания, и никакие данные клиентов не пострадали.
Однако модемы у людей не смогли подключиться к сети, и они были «приведены в негодность».
Во вторник председатель Viasat Марк Данкберг заявил на спутниковой конференции, что компания приобрела KA-SAT в Европе в прошлом году, а ее клиентская база все еще обслуживается третьей стороной в рамках перехода. «Мы считаем, что для этого конкретного события это можно было предотвратить, но в этом случае у нас не было такой возможности», — сказал Данкберг, подтвердив, что тысячи модемов были выведены из сети. «В большинстве случаев модемы, которые вышли из сети, нужно заменить. Их можно восстановить, поэтому мы перерабатываем модемы», — сказал Данкберг.
«На сегодняшний день нет никаких доказательств повреждения спутника KA-SAT, инфраструктуры базовой сети или шлюзов из-за этого инцидента», — говорится в заявлении Филлипса. Вместо этого Viasat утверждает, что кибератака произошла из-за неправильной конфигурации в «секции управления» сети, как сообщает Reuters.
В компании отказались предоставить какие-либо подробности о технической природе инцидента, ссылаясь на то, что расследование продолжается. Viasat говорит, что сейчас сосредоточен на восстановлении после частичного отключения.
Ни одно правительство официально не приписывало нападение России к нарушению связи в Украине. Данкберг сказал CNBC в понедельник, что он не может подтвердить, стоит ли россия за атакой, и что источником такой информации будут правительства. Редко бывает, когда правительства быстро приписывают кибератаки определенной стране или субъекту, поскольку расследование является сложным и требует времени для завершения.
Однако западные чиновники говорят, что нападение соответствует российским правилам. «Если бы это в конечном итоге приписывалось россии, это очень соответствовало бы тому, что мы ожидаем от них, а именно использовать свои кибервозможности для поддержки своей военной кампании», — сказали западные чиновники журналистам во время последнего брифинга.
Агентство национальной безопасности США (АНБ) и ANSSI, французское агентство кибербезопасности, расследуют взлом. Федеральное бюро расследований США опубликовало рекомендацию Агентства по кибербезопасности и безопасности инфраструктуры США (CISA), которая предупреждает о хакерских атаках.
«CISA прежнему обеспокоена угрозой для сетей спутниковой связи США и их союзников», — заявил в заявлении Эрик Голдштейн, исполнительный помощник директора CISA по кибербезопасности.
Угрозы взлома для satcom не новы. В 2014 году исследователь безопасности Рубен Сантамарта опубликовал исследование, которое показало много способов взлома спутниковой связи. В 2018 году дальнейшие исследования Сантамарты продемонстрировали, как это можно сделать, в частности, сосредоточившись на спутниковых системах в военных ситуациях. Сантамарта говорит, что, возможно, злоумышленники в деле Viasat — хотя их лицо и мотив неизвестные — могли развернуть вредоносное обновление прошивки, которое саботировало модемы клиентов.
«У нас есть вариант, что предполагаемая цель злоумышленников заключалась в том, чтобы фактически взломать терминалы, чтобы отключить связь», — говорит Сантамарта. — А может, они ожидали развернуть конкретную полезную нагрузку, чтобы, возможно, подслушивать коммуникации, и что-то пошло не так, и терминалы были замурованы. На данный момент мы не знаем, что произошло на самом деле».
Хотя многие детали взлома Viasat все еще неразгаданы — независимые исследователи по безопасности исследуют код на заблокированных модемах, его влияние широко ощутимо. Кажется, кибератака является ярким примером, когда атака распространяется намеренно или случайно за пределы своей первоначальной цели. В течение нескольких месяцев до вторжения России в Украину эксперты по кибербезопасности и правительства предупреждали, что побочные вмешательства являются огромной международной угрозой. Например, в июне 2017 года российский вирус NotPetya распространился за пределы своих первоначальных целей в Украине и нанес ущерб во всем мире более чем на 10 миллиардов долларов.
«Это выглядит как самый яркий пример распространения, независимо от того, была ли это самая разрушительная деятельность, которая была осуществлена в то время», — говорят западные чиновники об инциденте с Viasat.
Провайдеры спутникового интернета в Германии, Великобритании, Франции, Чехии и других заметили, что их услуги пострадали от отключения. Пользователи на спутниковом интернет-форуме сообщили о проблемах даже в Марокко. «Трудно прожить неделю без интернета, но если нет другого альтернативного доступа, нужно просто подождать», — посетовал один из пользователей в Польше.
Агентство ЕС по кибербезопасности, которое также расследует этот инцидент, сообщает, что ему известно о 27 000 пользователей, пострадавших от сбоя.
Одним из первых признаков взлома было выключение более 5800 ветровых турбин немецкой энергетической компании Enercon. Сбой не остановил вращение турбин, но это означает, что их нельзя остановить дистанционно, если есть неисправность, говорит представитель Enercon Феликс Ревальд. В настоящее время Enercon удалось вернуть в режим работы 40 процентов пораженных турбин, и его команды заменяют свои спутниковые модемы. «Мы не верим, что это было нацелено на нас или наших клиентов. Похоже, мы являемся своего рода «побочным ущербом», — говорит Ревальд.
Восстановление после инцидента, вероятно, займет больше времени. Viasat утверждает, что ежедневно привлекает сотни клиентов онлайн и предоставляет людям новые модемы или выпускает обновления программного обеспечения, которые могут исправить их системы удаленно. Ярослав Стритецкий, генеральный директор чешского интернет-провайдера INTV, говорит, что компания связывалась со всеми своими клиентами саткома, чтобы узнать, нужны ли им новые модемы, и, вероятно, придется заменить большинство тех, которые пострадали. Стритецкий говорит, что работы могут быть завершены до конца марта. «Вопрос в том, достаточно ли новых модемов, чтобы обеспечить или поддержать всех», — добавляет он.
Пока спутники играли важную роль во время войны в Украине. Они использовались для сбора разведывательных данных о перемещении российских войск и обеспечивали важный способ общения людей. Но вокруг взлома могут возникнуть юридические проблемы.
Альмудена Аскарате Ортега, исследователь Института ООН по вопросам разоружения, отмечает, что, поскольку спутниковые системы используются как для гражданских, так и для военных целей несколькими странами, вопрос их восстановления может быть сложным с точки зрения международного права.
«Если вы нацелены на спутник, который предоставляет определенные услуги конкретной стране, участвующей в конфликте, вы также можете лишить нейтральную страну услуг, которые предоставляет один и тот же спутник, тем самым нарушая это правило нейтралитета», — говорит Ортега. По его словам, результативные последствия атаки на эти инфраструктуры могут иметь последствия, которые очень глубоко почувствуют гражданские.
