2022年2月24日,在俄乌冲突爆发伊始,”的卫讯(Viasat)KA-SAT网络遭受多路蓄意网络攻击,导致乌克兰与欧洲部分区域KA-SAT卫星宽带用户服务中断。2022年3月30日,卫讯(Viasat)公司发布了KA-SAT遭受网络攻击的情况概述和初步分析报告,相关研究机构及美国政府等也对此次事件进行了评述。
2021年4月,Viasat宣布完成对欧洲通信卫星(Eutelsat)欧洲宽带业务基础设施(EBI)收购,拥有了KA-SAT卫星和相关地面设施的完全所有权。目前KA-SAT网络仍由Eutelsat子公司Skylogic代表Viasat进行运营管理,这一安排原本预计将在今年晚些时候结束。
此次网络攻击主要针对Viasat KA-SAT网络特定用户群体,并未对航空公司或Viasat 的美国政府客户造成干扰,受影响的固定宽带用户均使用“Tooway”品牌调制解调器。事件发生之后,Viasat公司立即开始执行针对性处置措施,部分网络在数小时内基本稳定,几天内完全稳定。此外,Viasat还采取了主动的防护措施,以确保其他重要的后台应用和报告/分析服务不受影响。在持续监控网络行为和活动的同时,Viasat公司还与第三方事件响应和取证负责人Mandiant一起,继续与Eutelsat/Skylogic公司、执法部门以及美国和国际政府机构合作,调查此次网络攻击。目前,调查仍在进行中。初步分析认为,此次攻击的主要目的是中断服务。没有证据表明任何终端用户数据被访问或泄露,也没有任何客户个人设备(个人电脑、移动设备等)被不当访问,也没有任何证据表明KA-SAT卫星平台或其配套卫星地面设施被入侵或损坏。
Viasat正在与业务分销商密切合作,让用户重新入网。由于业务性质,Viasat通常不直接与终端用户对接,而是通过分销商直接与终端客户沟通,通过识别受影响的客户,为恢复服务提供支持。一些用户调制解调器已收到更新提醒,当更新不足以及时恢复功能时,Viasat将提供新的调制解调器。目前,Viasat已经向经销商发放了数以万计的替代型调制解调器,并将根据需要提前备货。
KA-SAT遭受网络攻击情况概述
2022年2月24日UTC时间03时02分左右,Viasat KA-SAT宽带用户区域网络检测到大量恶意流量集中占网,这些流量来自位于乌克兰境内的多个SurfBeam2和SurfBeam 2+调制解调器和/或相关用户设备,针对性的服务拒止攻击使得许多正常用户调制解调器离网掉线。
Viasat相关人员对上述情况进行了分析,并努力迫使恶意调制解调器退网,但网络上陆续出现了其他类型调制解调器,在接下来的几个小时内持续进行流量占网攻击,降低了合法调制解调器入网/在网活动能力。与此同时,Viasat发现,在同一宽带用户服务区域中,在线调制解调器数量逐渐减少,这种状态一直持续到大约UTC时间04时15分。评估发现,欧洲大部分地区大量用户调制解调器在大约45分钟的时间内陆续退出KA-SAT网络,所有这些调制解调器都位于同一服务区。
最终,数以万计此前在线正常使用的调制解调器从KA-SAT网络上断开,并且在这些调制解调器尝试重新进入网络时均以失败告终。此次袭击影响了乌克兰境内大多数合法KA-SAT网络用户以及包括欧洲德国、法国、意大利、匈牙利、希腊和波兰等地区的大量固定宽带服务用户。
随后调查分析发现,攻击者利用VPN设备中的错误配置入侵地面网络,从而获取了对KA-SAT网络可信网管段的远程访问。攻击者通过这个受信任的管理网络横向移动到用于管理和操作该网络的特定网段,然后利用该网络对大量用户调制解调器同时下达了合法的、有针对性的管理命令。这些破坏性命令覆盖了调制解调器闪存中的关键数据,使调制解调器无法访问网络,但不是永久不可用。
Viasat已对受影响的调制解调器进行了详尽的分析,已确认没有任何电气组件异常或受到影响,没有任何调制解调器物理或电子组件受到影响或损坏,没有证据表明Viasat调制解调器软件或固件映像受到任何损坏或篡改,也没有证据表明存在任何供应链干扰。调制解调器可以通过恢复出厂设置后复位。迄今为止,没有证据表明Viasat网络操作中涉及的标准调制解调器软硬件更新进程在此次攻击中被使用或泄露。
Viasat应对与恢复措施
Viasat与Skylogic合作实施了多项断网缓解和恢复措施,以恢复网络稳定性。Viasat正在利用从这次事件中吸取的教训,进一步增强产品安全性能。由于调查仍在进行中,为了保护Viasat和Skylogic在KA-SAT网络上提供安全服务的能力,目前不会公开上述缓解措施的具体技术细节。
在整个调查过程中,Viasat继续向未受影响的用户以及未受此次攻击影响的移动和政府客户提供宽带服务。自攻击发生以来,Viasat一直与其分销商合作,为调制解调器无法使用的所有用户恢复服务。Viasat已经向分销商运送了近30000台替代型调制解调器,以使客户恢复入网。Viasat将继续向有需求的分销商提供即时功能调制解调器,以便他们能够为受影响的最终客户支持快速服务恢复和影响缓解。
美国对乌克兰的网络安全防御支援
在俄罗斯在乌克兰开展特种作战之前和期间,美国支持乌克兰继续访问互联网并加强乌克兰的网络防御。这些由美国政府协调的努力包括:
联邦调查局(FBI)为其乌克兰国家安全和执法合作伙伴提供了直接支持,包括向乌克兰合作伙伴介绍俄罗斯情报部门的网络行动;共享有关潜在或正在进行的恶意网络活动的网络威胁信息;帮助破坏民族国家传播虚假信息并针对乌克兰政府和军队的努力;并分享调查方法和网络事件响应最佳实践。FBI 还收到了来自其乌克兰合作伙伴的威胁情报和线索,以便利用 FBI 独特的调查和情报能力采取行动。联邦调查局、州政府和其他美国政府机构也协助乌克兰确定和采购硬件和软件以支持网络防御。
由美国国际开发署(USAID)资助的技术专家正在为乌克兰政府内的基本服务提供商(包括政府部门和关键基础设施运营商)提供实际支持,以识别恶意软件并在事件发生后恢复系统。美国国际开发署和国务院也在探索新机制,以利用美国和乌克兰网络安全服务提供商提供的服务来支持和加强乌克兰政府自身的网络防御工作。
美国国际开发署已向能源和电信等关键行业的基本服务提供商、政府官员和关键基础设施运营商提供了超过 6,750 台应急通信设备,包括卫星电话和数据终端。
美国能源部(DOE)和其他机构间合作伙伴正在与乌克兰合作,努力将乌克兰的电网与欧洲电力传输系统运营商网络 (ENTSO-E)进一步整合,包括满足网络安全要求和增强其弹性能源部门。完整的 ENTSO-E 集成是保护乌克兰金融、能源和国家安全的关键。
美国网络安全和基础设施安全局(CISA)已与包括乌克兰在内的主要合作伙伴交换了与俄罗斯入侵乌克兰有关的网络安全威胁的技术信息。2 月 26 日,CISA 发布警报,提供有关针对乌克兰的破坏性恶意软件攻击组织的技术细节和缓解指南。
在 2022 年 2 月之前,美国政府与乌克兰政府和关键基础设施部门密切合作,以推动强化乌克兰通信网络弹性,其中包括:
从 2020 年开始,美国国际开发署启动了一项 3800 万美元的网络安全改革计划,该计划将在未来几年内加强乌克兰的网络安全法律和监管环境,指定乌克兰网络人力培养计划并加强乌克兰领先大学的课程设置,并在关键基础设施运营商和私营部门解决方案提供商之间建立联系。该计划在乌克兰政府内部部署了 20 多名技术专家,以增强乌克兰的网络响应和恢复能力,并部署网络安全软件和硬件工具,以确保关键基础设施对物理和网络攻击的弹性。
美国能源部(DOE)与乌克兰的能源部门有着长期的合作关系,包括与乌克兰公用事业公司合作以帮助加强其网络安全态势。美国财政部通过软件工程研究所(SEI)与乌克兰国家银行 (NBU)合作,支持 NBU 的计算机安全事件响应小组 (CSIRT)改善乌克兰金融服务部门的网络安全信息共享。在俄乌特种作战之前,美国财政部在特定网络安全问题上提供了 NBU 援助,同时继续致力于长期网络安全项目,以更好地确保乌克兰金融部门的网络弹性。从 2021 年 12 月到 2022 年 2 月,美国网络司令部的网络专家与乌克兰网络司令部人员一起开展了防御性网络行动,作为提高关键网络弹性工作的一部分。两国的网络专业人士并肩作战,寻找对手恶意活动并识别漏洞。除了这项工作之外,该团队还为来自乌克兰以外的关键网络提供了远程分析和咨询服务。
客服