Angreps av Ryssland – nu berättar Viasat om attacken som slog ut internet i Ukraina

Den 24 februari 2022, strax före Rysslands fullskaliga invasion av Ukraina, blev Viasat, som levererar KA-bandsatelliter, det första stora offret för rysk cyberaggression när en wiper-attack stängde av modemen hos tiotusentals av Viasats statliga och kommersiella bredbandskunder.

Vid årets Black Hat- och Def Con-konferenser berättade Viasats representanter hur attacken gick till och lyfte fram de lärdomar de dragit av incidenthanteringen.

I Black Hat-föreläsningen redogjorde Mark Colaluca, vice vd och ciso på Viasat Corporate, och Kristina Walker, som var chef för industribaserade cybersäkerhet inom National Security Agencys (NSA) Cybersecurity Collaboration Center (CCC), för de detaljerade steg som togs innan modemen blev obrukbara, under attacken och efter, baserat på vad efterföljande undersökningar avslöjade.

Hur Viasat-attacken utspelade sig

Enligt Colaluca försökte någon den 23 februari, runt klockan 17 lokal tid, innan modemen inaktiverades, logga in på en Viasat-enhet med flera uppsättningar giltiga autentiseringsuppgifter, men försöken misslyckades. En timme senare ”lyckades någon få obehörig åtkomst via VPN, som landade i kärnnoden, men ingenting hände”, åtminstone inledningsvis, säger Colaluca. Ungefär två timmar senare fick angriparna tillgång till den hanteringsserver som fanns på plats i kärnnoden med en annan uppsättning autentiseringsuppgifter.

– Från den stunden, under de kommande tre till fyra timmarna, gjorde angriparna ett par saker, säger Colaluca.

– För det första gick de till en nätverksdriftsserver som fanns där, och dess primära syfte var modemdiagnostik, modemhälsa och att se hur många modem som är online. Så den servern hade tillgång till alla modem i nätverket i de två partitionerna, och de utförde rekognoseringsarbete.

Angreppet verkade vara målinriktat, eftersom angriparna sökte efter särskilda uppsättningar modem i vissa regioner för särskilda kunder och särskilda funktioner, och fick reda på hur många modem som var online. En timme senare, runt midnatt, fick angriparna tillgång till Viasats FTP-server, en del av infrastrukturen som levererar ny programvara eller uppdateringar till modemen. De släppte en binär wiper tillsammans med skript för att inventera nätverket, undersöka det och rapportera tillbaka statusen efter att skripten slutförts.

När trafiken gick ner till noll

Under de följande tre timmarna placerade angriparna wiper-toolkit på var och en av terminalerna och körde den binära koden för att radera modemens flashminne. Efter omstart blev modemen obrukbara och Viasat förlorade 40 000 till 45 000 modem och ”i stort sett all trafik gick ner till noll när ett antal modem gick offline”, säger Colaluca.

NSA:s Walker sa att i upptakten till kriget ”spårade vi att det skulle finnas specifika industripartner som skulle kunna vara måltavlor. Vi tänkte verkligen: vilka är det som bygger och tillhandahåller rättshjälp till Ukraina och deras leveranskedjor som kan komma att slås ut? Det här var inget vi hade förväntat oss.”

– Så medan Mark och hans team fokuserade på incidenthantering och kundåterställning försökte vi besvara tre frågor. Ett, vad hände och vem gjorde det? Två, kommer andra system som vi är beroende av som myndighet i USA att utsättas för en liknande attack? Och tre, kan vi få ut åtgärder som är specifika för den här attacken så snabbt som möjligt till samhället?

Colaluca och Walker, som tidigare hade etablerat en relation, höll kontakten under hela incidenten.

Colaluca avslöjade under sitt Black Hat-föredrag en annan aspekt av hela attacken som inte har rapporterats tidigare: angriparna slog till mot delar av Viasats system som var känsliga för specifikt utformade DHCP-paket som översvämmade infrastrukturen med ”tusentals och åter tusentals” DHCP-förfrågningar, ”över 100 000 under en femminutersperiod”. Viasat vidtog åtgärder för att mildra effekterna, men en annan attack följde i dess ställe, som Viasat också lyckades motverka.

Incidenthantering mest försummat

Den första lärdomen Viasat drog av den komplicerade prövningen var att ”incidenthantering är den mest försummade muskelgruppen", säger Colaluca.

– Vi påbörjade vår incidenthanteringsprocess, som inbegrep att anlita Mandiant som vår tredjepartsleverantör av incidenthantering och forensisk analys. Men hela den här gruppen av människor som påverkades av incidenten och en komplex uppsättning av åtgärder, det här hade vi inte övat på. Så vår första lärdom är att vi hade tränat upp muskelminnet och visste exakt hur vi skulle agera, vad de skulle leta efter, hur vi skulle kommunicera med dem och hur de kunde återkoppla om det fanns annan information eller rapportering som kunde påverka oss. Den muskeln hade tränats.

En annan lärdom Viasat drog av incidenthanteringen var hur viktigt det är att dela information.

– Det är viktigt. Det är komplext. Det är både och. Vi har privatkunder som vill veta: var är min tjänst? Vi hade en vindkraftspark, en stor, stor vindkraftspark som var beroende av den här tjänsten. Utan att vi visste om det hade vi kommersiella flygbolag över hela världen. Vi har statliga nätverk över hela världen.

Även ISAC:er (Information Sharing and Analysis Centers), Viasats föredragna metod för att dela information med både branschpartner och konkurrenter, var tvungna att hållas informerade.

– Ibland ville de alla ha en uppdatering. Vi hade utländska myndigheter och säkerhets- och underrättelsetjänster som jag aldrig ens hade träffat. Jag talar inte deras språk, och de ber om uppdateringar varje timme.

Samarbete hjälpte 

Viasat blev i slutändan den primära kommunikationspunkten för sina kunder. Samtidigt blev NSA:s CCC den primära kanalen för alla amerikanska myndigheter och enheter, liksom för utländska myndigheter och allierade partner.

– Och det fungerade riktigt bra, säger Colaluca.

NSA tog också hjälp av sina tekniska experter för att ta fram ”specifika rekommendationer för båda de attacker som de såg om hur de kunde mildras så att de kunde fokusera på sina kunder, och vi kunde fokusera på den tekniska analysen och ge rekommendationer””, säger Walker.

Med sin tekniska expertis kunde NSA ”ta fram en riktigt stark attribution” som pekade ut Ryssland som ansvarigt för attacken. Den 10 maj kunde den amerikanska regeringen och NATO-partnerna offentligt tillskriva Ryssland attacken.

– Och det var baserat på det samarbete som vi kunde göra väldigt, väldigt snabbt.

Colaluca säger att hur sofistikerad en attack är står i proportion till nätverkets hygien.

– I vissa fall var den mycket sofistikerad och hade en djup förståelse för hur vårt nätverk fungerade. I andra fall drog de stor nytta av de verktyg och funktioner som fanns på plats för att genomföra attacken utan att behöva göra särskilt mycket själva.

Att veta vad ”normalt”

Denna sanning ledde Colaluca till en annan lärdom: att veta vad som är normalt.

– Jag såg att många av åtgärderna i verktygslådan och angriparens förflyttning genom nätverket liknade det som nätverksoperatörer och administratörer gjorde dagligen. Så det som inte var normalt var förmodligen överföringen av filer med toolkits eller att göra det i stor skala. Och det är något vi har lärt oss. Att dokumentera vad som är normalt och ha en nyanserad syn på vad det borde vara, säger han.

En följd av detta är att utveckla ”förtroendezoner” och att ”vara okej som säkerhetsexpert med att bryta mot normal verksamhet som ett sätt att lära sig vad som är normalt”, säger Colaluca.

– Vi tyckte att det var extremt svårt, särskilt i äldre nätverk, att ta reda på vad som var normalt beteende och vem som använde det.

Colaluca och Walker gled under sina föredrag undan ett centralt mysterium i hela incidenten: hur fick angriparna de giltiga autentiseringsuppgifterna för att starta sina attacker till att börja med?

Colaluca sa att en ”uttömmande” undersökning av Viasat och Mandiant visade att attackerna inte involverade brute-force-gissning, ett standardlösenord, en okänd zero-day eller något annat som har att göra med VPN-enheten.

Han sa att utredningen inbegrep ”en detaljerad granskning av personal och normala åtgärder och beteenden” men uppgav inte specifikt att Viasat hade uteslutit en insiderattack. I ett andra föredrag på Def Con sa Nick Saunders, cybersäkerhetschef och dataansvarig på Viasat Government:

– Vi vet inte hur dessa inloggningsuppgifter erhölls. Vi vet att det var giltiga uppgifter, och tillade att frågan fortfarande är under utredning.