inoticia

Un comando de software malicioso que paralizó de inmediato decenas de miles de módems en toda Europa ancló el ataque cibernético en una red satelital utilizada por el gobierno y el ejército de Ucrania justo cuando Rusia invadió, reveló el propietario del satélite el miércoles.

El propietario, Viasat con sede en EE. UU., emitió un comunicado proporcionando detalles por primera vez. de cómo se desarrolló el ciberataque más grave conocido de la guerra entre Rusia y Ucrania. El ataque de gran alcance afectó a usuarios desde Polonia hasta Francia, y recibió una notificación rápida al bloquear el acceso remoto a miles de turbinas eólicas en Europa central.

Viasat no dijo quién creía que era responsable del ataque cuando The Associated Press le preguntó por separado. Los funcionarios ucranianos culpan a los piratas informáticos rusos.

El ataque de Viasat, que se produjo justo cuando Rusia estaba lanzando su invasión, fue considerado por muchos como un presagio de graves ataques cibernéticos. que podría extenderse más allá de Ucrania. Dichos ataques aún no se han materializado, aunque los investigadores de seguridad dicen que las operaciones cibernéticas relacionadas con la guerra más impactantes probablemente ocurran en las sombras, enfocadas en la recopilación de inteligencia.

Un todos contra todos de ataques menores, muchos aparentemente realizados por voluntarios, se han lanzado contra Rusia y Ucrania. Un persistente tamborileo de piratería maliciosa que los funcionarios ucranianos y los investigadores de seguridad cibernética culpan a los atacantes afiliados a Rusia ha plagado a Ucrania durante el conflicto de más de un mes. Uno de los ataques más graves dejó fuera de servicio en gran medida el servicio de Internet y celular de una importante empresa de telecomunicaciones que sirve a las fuerzas armadas, Ukrtelecom, durante la mayor parte del lunes.

El miércoles, Google dijo que había identificado un grupo de piratería ruso respaldado por el estado que participaba en una campaña de phishing de credenciales dirigida a los ejércitos de varios países de Europa del Este y un grupo de expertos de la OTAN. Dijo que no sabía si alguno de los objetivos se vio comprometido con éxito.

El ataque a la red de satélites KA-SAT puso de relieve lo vulnerables que pueden ser las redes de satélites comerciales que sirven tanto a clientes militares como no militares, con el impacto que sienten las personas y las empresas lejos del campo de batalla.

Comenzó en la madrugada del 24 de febrero con un ataque de denegación de servicio distribuido que dejó fuera de línea a una gran cantidad de módems. Siguió un ataque destructivo en el que un comando de software malicioso enviado a través de la red dejó inoperables a decenas de miles de módems en toda Europa al sobrescribir datos clave en su memoria interna, dijo Viasat. “Creemos que el propósito del ataque fue interrumpir el servicio”, dijo.

Dijo que envió 30.000 módems de reemplazo a los clientes afectados en toda Europa, la mayoría de los cuales usan el servicio para el acceso residencial a Internet de banda ancha.

El ataque causó una gran pérdida en las comunicaciones en Ucrania en las primeras horas de la invasión de Rusia, dijo a los periodistas el alto funcionario de ciberseguridad de Ucrania, Victor Zhora, a principios de este mes. Cuando la AP le preguntó la semana pasada quién era el responsable, Zhora dijo: “No necesitamos atribuirlo, ya que tenemos evidencia obvia de que fue organizado por piratas informáticos rusos para interrumpir la conexión entre los clientes que usan este sistema satelital”.

Dijo que no tenía información sobre si el servicio había sido restaurado y no podía decir qué agencias ucranianas más allá del ejército se vieron afectadas. Los contratos muestran, sin embargo, que la propia agencia de Zhora, el Servicio Estatal de Comunicaciones Especiales, se encuentra entre los clientes que también incluyen agencias de policía y municipios. Viasat dijo que “varios miles de clientes” ubicados en Ucrania se vieron afectados.

Viasat, con sede en Carlsbad, California, dijo que el ataque inicial de denegación de servicio provino de módems dentro de Ucrania. No especificó cómo el malware destructivo ingresó a la red, aparte de decir que se comprometió una “configuración incorrecta” en un dispositivo de red privada virtual, lo que permitió a los atacantes obtener acceso remoto desde Internet a una consola de administración “confiable” utilizada para administrar el satélite. la red.

Desde allí, los atacantes pudieron enviar simultáneamente el comando de desactivación a los módems de toda Europa, dejándolos inútiles pero no permanentemente inutilizables, dijo Viasat.

No se sabía cómo los atacantes violaron el dispositivo VPN. Investigador de ciberseguridad satelital Ruben Santamarta dijo que era importante saber si habían obtenido credenciales o explotado una vulnerabilidad conocida. Viasat se negó a proporcionar detalles el miércoles, citando una investigación en curso.

Gregory Falco, profesor de la Universidad Johns Hopkins especializado en seguridad de sistemas satelitales, dijo que el impacto en los sistemas afectados fue menor en comparación con lo que los atacantes fueron capaces de hacer.

Falco dijo que es probable que hayan mantenido un punto de apoyo. “Los atacantes no quieren mostrar toda su mano ni ninguna de sus posiciones sobre cómo planean persistir en la red”, dijo.

La red terrestre pirateada está a cargo de Skylogic, una subsidiaria de Eutelsat con sede en Italia, de la cual Viasat compró el satélite KA-SAT en abril del año pasado.

La investigación de Viasat sobre el ataque estuvo a cargo de la firma estadounidense de ciberseguridad Mandiant.