Yaptığı basın açıklamasında 24 Şubat’ta sistemlerinin “bozulmasına” geri dönen Viasat, cımbız almıyor ve bu sefer açıkça bir bilgisayar saldırısını çağrıştırıyor. Şirket, “24 Şubat 2022’de Viasat’ın KA-SAT ağına yönelik çok yönlü ve kasıtlı bir siber saldırı, KA-SAT’ın tüketicilere yönelik uydu geniş bant hizmetinin kısmen bozulmasına neden oldu” diye açıklıyor. Viasat, bu saldırının yalnızca ağının bir bölümünü hedef aldığını, özellikle de Ukrayna merkezli hizmet kullanıcılarını etkilediğini belirtiyor. Etkilenen kullanıcılar, Viasat ve Eutelsat’ın Avrupa’da uydu üzerinden İnternet’e erişmek için sunduğu “Tooway” çözümünün müşterileriydi. Soruşturma halen devam ediyor, ancak Viasat, saldırganların nihai amacının hiçbir veri çalınmadığı için hizmeti bozmak olduğuna inanıyor.
Bir saldırı fiyatına iki saldırı
Şirket, 24 Şubat sabahı saat 3’te Surfbeam 2 ve Surfbeam 2+ modemlerinden ve şirketin müşterilerinin uyduya bağlanmak için kullandığı diğer ekipmanlardan kaynaklanan kötü niyetli trafik şeklini alan saldırının ilk belirtilerini tespit ettiğini söyledi. internet servisi. “Viasat personeli durum üzerinde çalışırken ve kötü niyetli modemleri çevrimdışına zorlamaya çalışırken, ağda başka modemler belirerek önümüzdeki birkaç saat içinde hedefli saldırıya devam etmek için meşru modemlerin ağa girme veya başka bir şekilde ağa aktif kalma yeteneklerini azalttı, ” şirket açıklıyor. Bir saat sonra, şirketin mühendisleri, birçok modemin ağ bağlantısının kesildiğini ve “on binlerce” bağlantısız modeme ulaştığını keşfetti. Saldırı, esas olarak Ukrayna’da kurulu ekipmanları ve sınırlı bir ölçüde Avrupa’da bulunan diğer ekipmanları hedef aldı.
Saldırıyla ilgili soruşturma, saldırganların çalışma şeklini ortaya çıkardı: İlk göstergelerin aksine, saldırıya uğrayan cihazlara dağıtılan kötü niyetli bir güncelleme olmadığı anlaşılıyor. Viasat, saldırganların, Avrupalı müşterilerini internete bağlamak için Viasat tarafından kullanılan uydunun adını taşıyan KA-SAT ağının yönetim alanına girmek için VPN ekipmanındaki bir yapılandırma hatasından yararlanmayı başardığını açıklıyor.
Saldırganlar yerleştikten sonra ağın modemleri yönetmek için kullanılan bir bölümüne ulaşana kadar hareket etti ve daha sonra aynı anda çok sayıda modeme meşru komutlar göndermek için bu erişimden yararlandı. Bu komutlar özellikle cihazın ağa bağlanmak için kullanılan flash belleğinde bulunan verileri silmeyi amaçlıyordu. Bu nedenle saldırganlar, kullanıcıların ağ bağlantısını kesmek için modemlerde hem hizmet reddi hem de veri silmeyi seçtiler.
Atıf yok, ancak birkaç şüphe
Bu yöntem, birkaç saat içinde çok sayıda modemin Ka-sat ağından bağlantısını kesmeyi mümkün kıldı. Yine de Viasat, cihazlara hiçbir donanım yazılımı veya yazılım güncellemesinin yüklenmediği konusunda ısrar ediyor, bu da onları ağa yeniden bağlanmak için basitçe sıfırlamayı mümkün kılıyor. Saldırıyla ilgili ilk kamuya açık bilgiler, cihazları kalıcı olarak kullanılamaz hale getirecek kötü niyetli bir güncelleme olasılığını gündeme getirdi. Viasat, saldırının analizinde kendisine destek vermesi için Amerikan şirketi Mandiant’ı tuttuğunu duyurdu ve olayla ilgili olarak polis güçleri, Amerikan makamları ve uluslararası siber güvenlik kurumlarıyla da birlikte çalıştığını belirtti.
Viasat, saldırıyı takip eden günlerde ağının istikrarını geri kazandığını söyledi. Şirket ve bayileri, etkilenen modemlerin bir güncellemesini üstlendi ve bazı durumlarda yeni yedek modemleri yeniden gönderdi. Ekipler ayrıca ağ güvenliğini güçlendirmek için adımlar atıyor, ancak bu adımların teknik ayrıntılarını vermiyor.
Şirket, saldırının kaynağına dair herhangi bir unsur öne sürmüyor. Resmi olarak, hiç kimse bu siber saldırıyı belirli bir aktöre bağlamamış olsa da, Amerikan istihbaratına yakın kaynakların aktardığına göre Washington Post tarafından Rus hükümetiyle bağlantılı aktörlerin bu olaya karıştığını öne sürüyorlar. Birkaç siber güvenlik şirketi, Viasat’ın hizmetlerinin Ukrayna askeri güçleri tarafından yaygın olarak kullanıldığının altını çizmişti.
