Viasat confirme une cyberattaque, mais évite toute attribution

Fin février, Viasat a été la cible d’une cyberattaque visant son réseau d’accès à Internet par satellite bidirectionnel. Ses services en Ukraine ont été affectés, mais également au-delà dans une moindre mesure – jusqu’en Allemagne où des éoliennes ont été privées de connexion à leurs systèmes d’administration.

Dans un billet de blog publié le 30 mars, Viasat emploie finalement et expressément le terme de cyberattaque, indiquant que celle-ci a affecté « plusieurs milliers de clients en Ukraine et des dizaines de milliers d’autres clients haut-débit en Europe ». Selon le billet, l’incident a été « localisé sur une seule partition orientée grand public du réseau KA-SAT, qui est opéré par Viasat pour une filiale d’Eutelsat, Skylogic ». Pour Viasat, cela ne fait pas de doute : « nous pensons que l’objectif de l’attaque était d’interrompre le service ».

Selon les premiers éléments de l’enquête, tout semble être parti de modems SurfBeam2 et SurfBeam 2+ « physiquement situés en Ukraine », et gérés par la partition évoquée : « cette attaque ciblée en déni de service a rendu difficile, pour de nombreux modems, le fait de rester en ligne ».

Les modems concernés ont été déconnectés, mais « de nouveaux modems malveillants sont apparus sur le réseau pour continuer l’attaque » durant les heures suivantes, « dégradant la capacité des modems légitimes à accéder ou à rester connectés au réseau ». Dans le même temps, « Viasat et Skylogic ont commencé à observer un déclin graduel du nombre de modems connectés sur la même partition », mais côté entreprises cette fois-ci. Et cela dans toute l’Europe.

Selon Viasat, tout serait parti de l’exploitation d’un défaut de configuration d’une appliance VPN « pour obtenir un accès distant au segment d’administration de confiance du réseau KA-SAT ». De là, l’attaquant s’est déplacé dans l’environnement jusqu’à pouvoir envoyer des commandes « destructrices » à « un large nombre de modems résidentiels simultanément ». Ces commandes se sont attaquées à la mémoire flash des modems, les rendant inutilisables, mais pas de manière irréversible : une réinitialisation aux conditions de sortie d’usage permet de rendre les appareils à nouveau opérationnels.

« [Il s’agit d’un] maliciel ELF MIPS conçu pour effacer les modems et les routeurs. »

Dans la foulée de la déclaration de Viasat, SentinelOne a publié un billet de blog au sujet d’un maliciel baptisé, par ses équipes, AcidRain : il s’agit d’un « maliciel ELF MIPS conçu pour effacer les modems et les routeurs ». Viasat a ultérieurement confirmé l’implication d’AcidRain dans l’attaque.

SentinelOne a observé des « recouvrements de code » entre AvidRain et un plug-in VPNFilter. Pour les équipes de l’éditeur, les deux présentent des différences, mais également des similarités. Si celles-ci ne sont pas suffisantes pour établir fermement un lien, SentinelOne estime toutefois avec une confiance « modérée » qu’il est susceptible d’être réel. De quoi suggérer, compte tenu de l’historique de VPNFilter, une parenté russe, du côté du groupe APT 28, aussi connu sous le nom Sandworm. La campagne NotPetya de 2017 lui a été attribuée.

En tout, sept maliciels effaceurs seraient impliqués dans des opérations cyber, liées à la guerre en cours en Ukraine. Selon les autorités britanniques, la Russie cherche des cibles informatiques à attaquer dans le cadre du conflit. Selon Google, les pirates étatiques russes auraient déjà cherché à infiltrer des systèmes d’information de l’OTAN et d’armées de pays d’Europe de l’Est.