美國“衛星網中斷”事件復盤：管理后臺遭入侵，數萬Modem被下發破壞指令

2月24日俄烏沖突爆發時，覆蓋烏克蘭地區的美國衛星運營商Viasat遭遇網絡攻擊，導致數千烏克蘭用戶、數萬名歐洲其他地區用戶斷網；

經調查，攻擊者利用錯誤配置的VPN設備入侵衛星網管理后臺，向數萬用戶側Modem下發破壞性指令，從而造成斷網；

為恢復網絡服務，Viasat已經為用戶更換了近3萬個調制解調器。

前情回顧

• 俄烏沖突網絡風險外溢？！網絡攻擊導致數萬名衛星用戶斷網
• 美歐同時警告衛星通信網攻威脅：俄烏軍事沖突致衛星網絡攻擊風險飆升

3月30日，美國衛星通信服務商Viasat發布一份事件報告，詳細披露了2月24日俄羅斯對烏克蘭開戰當天，該公司KA-SAT民用衛星網絡服務遭遇網絡攻擊的細節。

KA-SAT衛星網絡曾經被“烏克蘭軍方所頻繁使用”。在被攻擊期間，中歐及東歐地區的KA-SAT衛星服務均發生中斷。

這次通信服務中斷也影響到了德國，導致負責控制約5800臺風力渦輪機的調制解調器無法正常聯網。此外，來自法國、意大利、匈牙利、希臘和波蘭的客戶也受到不同程序影響。

Viasat公司在事件報告中證實，這次攻擊直接影響到數千名烏克蘭客戶及數萬名歐洲其他寬帶客戶。

報告還提到，由該公司直接管理的政府與移動客戶、使用KA-SAT衛星及其他Viasat全球網絡服務的用戶未受到影響。

Viasat公司披露，“最終，數以萬計此前穩定在線且處于活動狀態的調制解調器在網絡上掉線，并且此后沒有嘗試重新接入網絡。”

利用錯誤配置的VPN設備入侵

Viasat公司表示，攻擊者首先入侵管理網絡，發出管理指令覆蓋掉了設備閃存，由此關閉客戶家中的調制解調器并導致其無法重新接入網絡。但這只是掉線，并沒有讓這些設備“變磚”。

Viasat公司補充稱，“通過后續調查與取證分析，我們確定攻擊者是以錯誤配置的VPN設備為跳板，獲得了對KA-SAT網絡內受信任管理網段的遠程訪問權限。”

“攻擊者通過受信管理網段進行橫向移動，進入到負責網絡管理及運營的特定網段，再向大量客戶調制解調器同時發出合法且有針對性的管理指令。”

這次攻擊造成的直接結果，就是數以萬計的在線調制解調器從KA-SAT網絡中斷開，而且無法重新接入。

此次事件不僅影響到烏克蘭國內大部分原本正常的調制解調器，也令歐洲其他地區的大量調制解調器意外離線。

Viasat公司已經對受到影響的調制解調器開展詳細分析，確認不存在任何故障或電子元件異常，設備物理或電子元件并未受損，未發現損害或篡改Viasat調制解調器軟件或固件鏡像的跡象，也沒有證據表明供應鏈受到過干擾。客戶可以通過恢復出廠設置將調制解調器還原。截至目前，對于正常網絡運營中使用的標準調制解調器軟件或固件，Viasat公司沒有在分發或更新流程中發現任何利用或破壞跡象。

——Viasa

為恢復網絡服務更換近3萬個調制解調器

自2月下旬遭受網絡攻擊以來，Viasat已經發出近3萬臺調制解調器，以幫助客戶重新聯網，未來還將繼續提供更多設備加快受影響客戶的服務恢復。

Viasat公司表示，“我們認為此次攻擊的目的就是要造成服務宕機。”

“目前沒有證據表明有最終用戶的數據遭到訪問或泄露，客戶的個人設備（PC、移動設備等）未遭非法訪問，也沒有證據表明KA-SAT衛星自身或公司使用的地面衛星接收設施受到直接針對、受損或入侵。”

美國政府目前也在調查Viasat黑客事件，并將事件初步定性為疑似俄羅斯國家支持的網絡攻擊。美國國安局發起了一項跨機構聯合措施，希望與烏克蘭情報部門一起“評估事件的影響范圍與嚴重性”。

美國網絡安全與基礎設施安全局與聯邦調查局還發布了一份聯合咨詢報告，就國內乃至全球衛星通信（SATCOM）網絡面臨的“潛在威脅”向相關美國組織發出警告。