Почему американской компании пришлось полностью переделывать свою инфраструктуру?

Агентство национальной безопасности США (АНБ) совместно со спутниковым интернет-провайдером Viasat раскрыли новые детали резонансной кибератаки на компанию, произошедшей в прошлом году.

Марк Колалука, вице-президент Viasat по информационной безопасности, выступил совместно с Кристиной Уолтер, руководителем кибербезопасности оборонной промышленности АНБ, на недавней конференции Black Hat. Они раскрыли множество новых подробностей об атаке, извлечённые из неё уроки и многое другое.

Кибератака в феврале 2022 года вывела из строя множество модемов KA-SAT Viasat на территории Восточной Европы. Она также имела и другие последствия, вызвав сбой 5800 ветряных турбин Enercon в Германии и нарушения в работе тысяч организаций по всей Европе. По данным властей США и ЕС, атака на Viasat имела исключительно геополитические мотивы.

Колалука отметил, что сеть KA-SAT Viasat обслуживает более 100 тысяч клиентов в Европе и на Ближнем Востоке. Компания предлагает и широкополосный, и спутниковый доступ в Интернет, однако атака хакеров была нацелена в первую очередь именно на широкополосный канал.

Колалука раскрыл, что на самом деле операции компании нарушили две отдельные атаки. По его словам, одна из атак была весьма изощрённой, и у хакеров было глубокое понимание того, как работает сеть Viasat. Тем не менее, для другой атаки злоумышленникам не пришлось прикладывать особых усилий из-за наличия уязвимостей внутри инфраструктуры компании.

«Один из главных уроков для нас заключается в том, что та часть атаки, которая не требовала особой сложности, возможно, могла быть смягчена с помощью немного большей цифровой гигиены и нескольких дополнительных мер безопасности», — объяснил Колалука.

Так, 23 февраля прошлого года хакеры нацелились на диспетчерский центр Viasat в Турине, Италия, взломав VPN, который обеспечивал сетевой доступ для администраторов и операторов компании. В 17:00 по местному времени после нескольких неудачных попыток хакерам удалось попасть в корпоративный VPN.

Затем они получили доступ к серверам управления, которые предоставили им широкий доступ к информации о количестве работающих модемов компании и прочим многочисленным данным.

Через несколько часов хакеры получили доступ к ещё одному серверу, который доставлял обновления ПО на модемы, что позволило им доставить вайпер, который вывел из строя от 40 до 45 тысяч модемов, многие из которых так и не восстановили свою работу. Всё это было сделано лишь в рамках первой атаки.

Колалука объяснил, что вскоре после инцидента он начал общаться с Уолтер из АНБ из-за множества запросов от правительственных агентств по всей Европе и других регионов.

Одна из причин, по которой Viasat испытывала трудности с реагированием, заключалась в том, что почти все затронутые модемы находились в Европе, в то время как штаб-квартира компании — в США. Продукция Viasat продаётся через дистрибьюторов, которые устанавливают её для европейских клиентов.

Как раз, когда специалисты Viasat начали привлекать АНБ для помощи, началась вторая атака. Хакеры завалили системы Viasat запросами, перегружая их. Им удалось взять под контроль тысячи модемов и использовать их для подавления систем реагирования на инциденты. Данная атака сделала невозможным восстановление работы модемов, по крайней мере в тот промежуток времени.

Когда Колалука принял меры для остановки этой атаки, хакеры сменили тактику, нацелившись на конкретные терминалы, чтобы держать их в офлайне. Колалука не стал уточнять, где находились эти терминалы, но предыдущие сообщения указывают, что большинство из них — на территории Восточной Европы.

Колалука отметил, что даже после восстановления работы систем специалисты Viasat столкнулись с несколькими другими инцидентами и до сих пор продолжают подвергаться периодическим кибератакам.

Тем не менее, компания сделала выводы и прокачала свою кибербезопасность, поэтому теперь хакерам приходится гораздо чаще менять свою тактику, чтобы как-то ощутимо задеть инфраструктуру Viasat.

Колалука также заявил, что в Viasat ожидают, что хакеры рано или поздно вернутся, чтобы повторить такую же атаку, однако вице-президент заверил, что вряд ли это будет возможным, так как компания практически с нуля выстроила новую инфраструктуру, которая гораздо менее восприимчива такого рода атакам.

По словам Колалуки, есть некоторые аспекты той атаки, которые до сих пор необъяснимы. Он сказал аудитории Black Hat, что в компании всё ещё не знают, как атакующим удалось получить первоначальный доступ к VPN-системе в Италии, и откуда они знали, что слабое место было именно там.

Хакеры не использовали уязвимости нулевого дня и не взламывали пароли по умолчанию, отметил он, кратко упомянув, что специалисты Viasat также рассматривали версию о наличии «крота» в итальянском подразделении, который и слил хакерам всю нужную информацию, и предоставил доступ.

Источник: securitylab