Auteur Sujet: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022  (Lu 36368 fois)

0 Membres et 2 Invités sur ce sujet

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 670
  • Montgesty (46150)
    • Tetaneutral.net
Tu vas pouvoir t'amuser :

drwxr-xr-x 5 rjmendez rjmendez 4.0K Sep  4 01:33 ..
-rwxr-xr-x 1 rjmendez rjmendez  902 Nov 29  2014 Client_privKey.pem
-rwxr-xr-x 1 rjmendez rjmendez 2.5K Oct  7  2014 Client_Cert.pem
-rwxr-xr-x 1 rjmendez rjmendez 1.4K Oct  7  2014 TrustList.pem
-rwxr-xr-x 1 rjmendez rjmendez 1.4K Jun 18  2010 NAP_Cert.pem
drwxr-xr-x 2 rjmendez rjmendez 4.0K Dec 31  2009 .

Tu peux avoir un dump au JTAG ? Cela sent le soucis avant U-Boot.

Il faudrait que je trouve le temps de chercher le JTAG sur les pin du connecteur latéral, sachant que sur ce genre de matériel il est souvent désactivé en usine.

Certaines traces partent vers le FPGA : Je me demande si la séquence de flash n'est pas de 1) flasher & démarrer le FPGA , pour 2) charger un binaire dans le CPU CN5020, et 3) accéder ainsi à la flash en écriture.
Si c'est ça, ça dépasse mes compétences.
D'autre part , même si je pense que je pourrais dessouder la NOR, je n'ai pas de quoi la reflasher : Le flasher que j'ai, un TL866 , n'a pas la largeur de bus requise pour ce composant. Son successeur coûte près de 300€...

Donc là... Même si j'avoue que j'aimerais bien avoir un modem de backup :-)

Nico

  • Modérateur
  • *
  • Messages: 44 539
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
UPDATE: US intelligence concludes #Russia's GRU is behind a key invasion-day hack.

Viasat attack 'bricked' KA-SAT satellite modems, disabling key Ukrainian military comms on invasion day.

Collateral impacts in several EU countries.

Scoop by @nakashimae https://www.washingtonpost.com/national-security/2022/03/24/russian-military-behind-hack-satellite-communication-devices-ukraine-wars-outset-us-officials-say/


https://x.com/jsrailton/status/1507388270237339649

petrus

  • Expert AS206155
  • Expert
  • *
  • Messages: 1 066
https://www.airforcemag.com/hackers-attacked-satellite-terminals-through-management-network-viasat-officials-say/

Citer
The attack compromised the management plane—the part of the network that
controls customer terminals to ensure they can communicate with the
satellite, the Viasat officials said. The hackers had abused that
functionality to change the software configuration on the terminals and
render them inoperable.

eeh oui.

xp25

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 6 065

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 670
  • Montgesty (46150)
    • Tetaneutral.net
Citer
But, contrary to some early reports, the attack did not brick the terminals. “It did not make them permanently inoperable,” said the second official. “Every single terminal that was knocked off the air can be brought back with a software update.” Although the network is generally capable of updating terminals over the air, by downloading new software via the satellite link, many of the terminals attacked cannot be brought back online by the customer, and so can’t get the required update over the air. Those will have to be updated by tech support staff, the first official said.

Oui c'est un peu jouer sur les mots.... la flash est effacée, et ya plus de réponse sur le port série. Récupérer au jtag, c'est ce qu'on appelle "débricker"... Si ils m'envoient une sonde & le soft, je sais le faire aussi ...


petrus

  • Expert AS206155
  • Expert
  • *
  • Messages: 1 066
Publication d'aujourd'hui de Viasat : https://www.viasat.com/about/newsroom/blog/ka-sat-network-cyber-attack-overview/

Citer
There is no evidence that [...] its supporting satellite ground infrastructure itself were directly involved, impaired or compromised.

 :o

Citer
Subsequent investigation and forensic analysis identified a ground-based network intrusion by an attacker exploiting a misconfiguration in a VPN appliance to gain remote access to the trusted management segment of the KA-SAT network.

Faudrait savoir ?

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 670
  • Montgesty (46150)
    • Tetaneutral.net
Publication d'aujourd'hui de Viasat : https://www.viasat.com/about/newsroom/blog/ka-sat-network-cyber-attack-overview/

intéressant : Les attaquants ont manifestement réussi à se logguer sur les modems eux-même, pour lancer des commandes (RT-069 , SSH ou autre).
Ils ont commencé par un DDOS et se sont rendu compte ensuite qu'ils pouvaient "juste" briquer les modems , ce qu'ils ont fait de manière massive juste après .
=> Contrairement à ce que je pensais, c'est pas une mise à jour qui a été poussée, mais une prise de contrôle directe suivi de commandes visant à briquer le modem (sous linux, il y a des tas de possibilité...)

 

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
Il existe peut-être un autre facteur: le télétravail pendant les confinements COVID.
Le premier confinement a été difficile au niveau des VPN avec des deployements rapides.
Est-ce qu'il n'y aurait pas eu des erreurs de configurations exposant des réseaux jusqu'ici isolé ?

Au final: compromission d'un VPN mal configuré pour pivoter latéralement vers le réseau d'administration des modems.
Je pense que la "mitigation" sur lequel ils ne souhaitent pas communiquer est juste de re-isoler ces réseaux privilégié.

Faudrait savoir ?
Ils doivent vouloir dire qu'il n'y a pas eu d'accès à la partie infra pure du réseau (avionique des satellites + les téléports).
C'est juste la partie ISP (la même que sur un réseau classique ADSL/cable) qui a été compromise.
Est-ce lla même entité ?

MoXxXoM

  • Abonné Starlink
  • *
  • Messages: 1 005
Il y a en effet du TR-069 utilisé sur les modem Ka-Sat (C'est cet ACS qui est utilisé sur Ka-Sat https://www.axiros.com/products/axess-acs), c'est une piste intéressante.

Apparement les tentatives d'attaque persistent: https://www.reuters.com/business/media-telecom/exclusive-hackers-who-crippled-viasat-modems-ukraine-are-still-active-company-2022-03-30/
Citer
"We're still witnessing some deliberate attempts," the official said Tuesday. He said that Viasat was so far resisting the hackers with defensive measures but that "we've been seeing repeated attempts by this attacker to alter that pattern to test those new mitigations and defenses."

Faudrait savoir ?
Sur ça je pense qu'il faut comprendre que la TM/TC (télémesure-télécommande) donc la partie "admin" du satellite n'a pas été compromise, après c'est assez logique car les accès TM/TC sont généralement off-net/en circuit fermé.

petrus

  • Expert AS206155
  • Expert
  • *
  • Messages: 1 066
Ils doivent vouloir dire qu'il n'y a pas eu d'accès à la partie infra pure du réseau (avionique des satellites + les téléports).
C'est juste la partie ISP (la même que sur un réseau classique ADSL/cable) qui a été compromise.

Sur ça je pense qu'il faut comprendre que la TM/TC (télémesure-télécommande) donc la partie "admin" du satellite n'a pas été compromise, après c'est assez logique car les accès TM/TC sont généralement off-net/en circuit fermé.

Oui ok vu comme ça, ça se tient.

petrus

  • Expert AS206155
  • Expert
  • *
  • Messages: 1 066
Le malware AcidRain serait l'outil utilisé pour effacer les flash des modems : https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/

Confirmé par viasat : https://techcrunch.com/2022/03/31/viasat-cyberattack-russian-wiper/


BSA

  • Abonné FAI autre
  • *
  • Messages: 2
  • Barcelona
Pour ceux qui voudraient comprendre comment accéder à la puce flash sur les modems maçonnés via JTAG :
Pour activer eJTAG sur les modems SurfBeam 2

Établir une connexion de cavalier de R519 (ejtag-TDO) :
Déplacez la résistance R520 (JTAG) vers R419 pour que eJTAG-TRSTL soit activé

eJtag est exposé sur l'en-tête J21.
Première rangée du J21 :
TCK
SMT
eTDO
TDI
TRSTL
GND peut être pris par ex. de la broche ronde du TP10


Une modification réussie devrait vous renvoyer des données d'ID CPU telles que :
Version = 0 (identifie la version d'un appareil spécifique)
Numéro de pièce = 0xB00 (identifie le numéro de pièce d'un appareil spécifique)
ID de fabrication = 0x1CC


L'UART sur les modems SB2 est directement exposé sur l'en-tête de broche J24 sans qu'il soit nécessaire de modifier quoi que ce soit sur le PCB. Si vous avez accès au modem de travail, vous pouvez vider le flash à partir de la ligne de commande uBoot (l'approche YOLO du processus de démarrage interrompu à l'invite uBoot apparaîtra et vous pouvez faire votre magie pour obtenir un shell root)

English:
For those that would like to figure out how to access flash chip on the bricked modems via JTAG:
In order to enable eJTAG on the SurfBeam 2 modems

Make jumper connection of R519 (ejtag-TDO):
Move R520 (JTAG) resistor to R419 so eJTAG-TRSTL will be enabled

eJtag is exposed on the J21 header. 
First row of the J21:
  • TCK
    TMS
    eTDO
    TDI
    TRSTL
    GND can be taken e.g. from round pin of TP10


Successfull modification should return you CPU ID data like:
Version = 0 (Identifies the version of a specific device)
Part Number = 0xB00 (Identifies the part number of a specific device)
ManufID = 0x1CC

UART on the SB2 modems is directly exposed on the J24 pin header without need to modify anything on the PCB. If you have access to the   working modem you can dump flash from the uBoot command line (YOLO approach to breake booting process to uBoot prompt will appear and you can do your magic to get a root shell)