ViaSat : la société s’explique sur la cyberattaque
Dans son communiqué revenant sur la « perturbation » de ses systèmes du 24 février, Viasat ne prend pas de pincettes et évoque cette fois clairement une attaque informatique. « Le 24 février 2022, une cyberattaque multiforme et délibérée contre le réseau KA-SAT de Viasat a entraîné une interruption partielle du service haut débit par satellite de KA-SAT destiné aux consommateurs », explique la société. Viasat précise que cette attaque n’a visé qu’une partie de son réseau, touchant notamment les utilisateurs du service basés en Ukraine. Les utilisateurs affectés étaient clients de la solution « Tooway » proposée par Viasat et Eutelsat pour accéder à Internet par satellite en Europe. L’enquête est toujours en cours, mais Viasat pense que l’objectif final des attaquants était d’interrompre le service, aucune donnée n’ayant été dérobée.
Deux attaques pour le prix d’une
La société explique avoir détecté les premiers signes de l’attaque à 3h du matin le 24 février, ceux-ci prenant la forme de trafic malveillant émanant des modems Surfbeam 2 et Surfbeam 2+ ainsi que d’autres équipements utilisés par les clients de la société pour se connecter à son service d’internet satellitaire. « Alors que le personnel de Viasat travaillait sur la situation et a tentait de forcer les modems malveillants hors ligne, d’autres modems sont apparus sur le réseau pour poursuivre l’attaque ciblée au cours des heures suivantes, dégradant la capacité des modems légitimes à entrer ou sinon rester actif sur le réseau » explique la société. Une heure plus tard, les ingénieurs de la société ont constaté que de nombreux modems se déconnectaient du réseau, jusqu’à atteindre « des dizaines de milliers » de modems déconnectés. L’attaque a principalement visé les équipements installés en Ukraine et de façon limitée d’autres équipements basés en Europe.
L’enquête sur l’attaque a permis de révéler le mode opératoire des attaquants : contrairement aux premières indications,il ne s’agissait apparemment pas d’une mise à jour malveillante diffusée aux équipements attaqués. Viasat explique que des attaquants sont parvenus à exploiter une erreur de configuration dans un équipement VPN afin de s’introduire dans l’espace d’administration du réseau KA-SAT, du nom du satellite utilisé par Viasat pour connecter à Internet ses clients européens.
Une fois en place, les attaquants se sont déplacés jusqu’à atteindre une section du réseau utilisée pour administrer les modems et ont ensuite exploité cet accès pour envoyer des commandes légitimes sur un grand nombre de modems en même temps. Ces commandes visaient notamment à supprimer des données présentes dans la mémoire flash de l’appareil, qui étaient utilisées pour se connecter au réseau. Les attaquants ont donc choisi de mener à la fois un deni de service et une suppression de données sur les modems pour déconnecter les utilisateurs du réseau.
Pas d’attribution, mais peu de doutes
Cette méthode a permis de déconnecter un grand nombre des modems du réseau Ka-sat en l’espace de quelques heures. Viasat insiste néanmoins sur le fait qu’aucune mise à jour du firmware ou du logiciel n’a été installée sur les appareils, ce qui rend possible leur simple réinitialisation pour se reconnecter au réseau. Les premières informations publiques sur l’attaque évoquaient la possibilité d’une mise à jour malveillante qui aurait rendu les appareils définitivement inutilisables. Viasat annonce avoir engagé la société américaine Mandiant pour l’épauler dans son analyse de l’attaque, et indique travailler également avec les forces de police, les autorités américaines et des agences internationales de cybersécurité sur l’incident.
Viasat indique avoir rétabli la stabilité de son réseau dans les jours ayant suivi l’attaque. La société et ses revendeurs ont entrepris une mise à jour des modems affectés, et dans certains cas réexpédiés de nouveaux modems de remplacement. Les équipes prennent également des mesures visant à renforcer la sécurité du réseau, mais ne donnent pas de détails techniques sur ces mesures.
La société n’avance aucun élément sur l’origine de l’attaque. Si officiellement, personne n’a attribué cette cyberattaque à un acteur précis, des sources proches du renseignement américain citées par le Washington Post laissent entendre que des acteurs liés au gouvernement russe ont été à la manœuvre sur cet incident. Plusieurs sociétés de cybersécurité avaient mis en avant le fait que les services de Viasat étaient très utilisés par les forces militaires ukrainiennes.
