Компания Viasat рассказала о проведённой неизвестными лицами кибератаке на сетевые ресурсы спутникового оператора, в результате которой многочисленные клиенты в Европе лишились доступа к услугам провайдера.
Согласно опубликованному на сайте Viasat сообщению, проблемы начались 24 февраля, когда стали проявляться сбои в работе сервисов широкополосной связи KA-SAT. Большинство пользователей данный инцидент не затронул, однако сложности испытали несколько тысяч украинских клиентов, а также десятки тысяч пользователей услуг фиксированного широкополосного доступа в Европе. По версии оператора, основной целью кибератаки стал потребительский сегмент сети KA-SAT, который управляется её дочерней компанией Skylogic.
В первый день атаки оператор обнаружил большие объёмы «целенаправленного вредоносного трафика», исходящего от спутниковых терминалов SurfBeam 2 и SurfBeam 2+, а также расположенного на территории Украины связанного с ними клиентского оборудования. В последующие часы в сети провайдера появилось другое оборудование, посредством которого осуществлялась DDoS-атака, а многочисленные добросовестные клиенты лишились возможности получать услуги связи. Далее «новые» единицы оборудования начали пропадать — десятки тысяч терминалов отключились от сети и больше не появлялись. Атака затронула большинство ранее активных терминалов на Украине и «значительное количество» точек в других частях Европы.
Оператор подчеркнул, что отсутствуют какие-либо свидетельства о взломе данных конечных пользователей или получении злоумышленниками доступа к персональному оборудованию клиентов; нет также доказательств того, что были взломаны спутники или базовая наземная инфраструктура. Viasat приняла меры по восстановлению работоспособности сети, что заняло несколько дней, кроме того, компания совершила несколько шагов для защиты инфраструктуры от подобных инцидентов в дальнейшем.
По результатам расследования стало ясно, что атакующие получили доступ к сети, воспользовавшись ошибкой в конфигурации VPN, что открыло им доступ к доверенному сегменту KA-SAT — в результате были перезаписаны данные во флеш-памяти терминалов, которые временно лишились возможности подключаться. Расследование инцидента продолжается, в нём принимают участие специалисты по кибербезопасности компаний Mandiant, Eutelsat/Skylogic, правоохранительных органов, а также правительственных учреждений США и других стран.
Viasat также плотно работает с оптовыми дистрибьюторами, пытаясь в кратчайшие сроки возобновить предоставление услуг клиентам. В одних случаях это удалось сделать через обновления прошивки, в других — пришлось менять оборудование. Компания изъявила готовность предоставить до 30 000 новых терминалов.
Также одним из пострадавших стал немецкий оператор ветрогенераторов Enercon, потерявший доступ к более чем 5 000 турбин. До 85 % сетевых терминалов компании по-прежнему отключены от сети.
Источник