Auteur Sujet: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022  (Lu 13985 fois)

0 Membres et 1 Invité sur ce sujet

testing5555

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 234
  • Lyon 3 (69)
Bon, apparemment il suffit d'acheter un modem d'occaz et roule ma poule  :P
Si la faille n'a pas été corrigée c'est juste un répit jusqu'à la prochaine attaque (ou alors il faut trouver un modèle qui n'aurait pas été impacté).
Et vu que l'opérateur se fait discret on peut se poser la question de savoir si une protection a été mise en place depuis...

dhyd

  • Abonné FAI autre
  • *
  • Messages: 177
bjr
Et bien je pense que depuis le jour où cela est arrivé, ils doivent être en réunion de crises tous les jours pour savoir quoi faire et surtout quoi répondre aux nombreux utilisateurs donc ils cherchent et quand ils auront trouvé, ils communiqueront mais pas avant et ça peut prendre du temps.

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 601
  • Montgesty (46150)
    • Tetaneutral.net
Si la faille n'a pas été corrigée c'est juste un répit jusqu'à la prochaine attaque (ou alors il faut trouver un modèle qui n'aurait pas été impacté).
Et vu que l'opérateur se fait discret on peut se poser la question de savoir si une protection a été mise en place depuis...

En même temps si tu sais réparer ton modem en le reflashant 1 fois, tu peux le faire plusieurs fois ensuite :-)
Je sais pas si les maj sont faites sous forme de "carroussel" (cad repassent régulièrement , comme pour les décodeurs TV) ou bien si c'est poussé en one-shot (et dans ce cas là ça implique que les modems éteints ou non connectés à ce moment ne seront pas mis à jour). Il est aussi possible que les modems eux-même viennent périodiquement chercher leur mise à jour sur un serveur de viasat , mais dans ce cas-là je reste étonné que le briquage ait été aussi rapide partout en europe.
 
bjr
Et bien je pense que depuis le jour où cela est arrivé, ils doivent être en réunion de crises tous les jours pour savoir quoi faire et surtout quoi répondre aux nombreux utilisateurs donc ils cherchent et quand ils auront trouvé, ils communiqueront mais pas avant et ça peut prendre du temps.

Et bien on va les laisser bosser tranquille....

PhilippeMarques

  • Expert
  • *
  • Messages: 968
En même temps si tu sais réparer ton modem en le reflashant 1 fois, tu peux le faire plusieurs fois ensuite :-)
[Je sais pas si les maj sont faites sous forme de "carroussel" (cad repassent régulièrement , comme pour les décodeurs TV) ou bien si c'est poussé en one-shot (et dans ce cas là ça implique que les modems éteints ou non connectés à ce moment ne seront pas mis à jour). Il est aussi possible que les modems eux-même viennent périodiquement chercher leur mise à jour sur un serveur de viasat , mais dans ce cas-là je reste étonné que le briquage ait été aussi rapide partout en europe.
Regardes du côté de DSM-CC

alain_p

  • Abonné Free fibre
  • *
  • Messages: 13 555
  • Delta S 10G-EPON sur Les Ulis (91)
ou bien si c'est poussé en one-shot (et dans ce cas là ça implique que les modems éteints ou non connectés à ce moment ne seront pas mis à jour).

J'ai l'impression, vu la simultanéité que cette fois là, cela a été fait one-shot, et qu'ils ont loupé 20% des modems, vu la baisse du trafic.

petrus

  • Expert AS206155
  • Expert
  • *
  • Messages: 1 042
Un article qui explique assez bien ce qui s'est probablement passé : https://www.reversemode.com/2022/03/satcom-terminals-under-attack-in-europe.html


Harvester

  • Abonné K-Net
  • *
  • Messages: 277
  • RIP Essonne Numérique - FTTH Pulse - Limours (91)
    • Site perso

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 601
  • Montgesty (46150)
    • Tetaneutral.net

alain_p

  • Abonné Free fibre
  • *
  • Messages: 13 555
  • Delta S 10G-EPON sur Les Ulis (91)
Très bon article d'Amaelle Guiton dans Libération (avec des morceaux de obinou dedans :)) :

Elle s'est bien renseignée...

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 601
  • Montgesty (46150)
    • Tetaneutral.net
Merci Amaelle pour cet article effectivement très bien sourcé (et merci à celui qui me l'a partagé).

Mea Culpa : Au départ je n'avais pas du tout pensé ni accepté la thèse de l'attaque russe, pour 2 raisons:
- Je ne voyais pas l'intérêt stratégique pour les russe de casser une poignée de sat européen,
- Je préfère toujours l'explication de l'incompétence à celle de la malveillance.

Or dans ce cas précis, je ne savais (bien sur) pas que la Ka-Sat était utilisé sur des sites stratégiques ukrainiens, encore moins par leur armée. Dans ce contexte, l'intérêt stratégique de profiter d'une faille découverte il y a sans doute plusieurs années et gardée 'dormante' devient  évidente, même si au final j'imagine que les ukrainiens ont d'autres moyens de communication, ne serait-ce que d'autres sats (cf les envois de matériel starlink récents)

La seule question qui reste maintenant en suspends, plus par curiosité que par réel utilité, c'est comment les russes ont fait exactement et depuis combien de temps ils étaient infiltré. Ca pourrais aussi (et surtout) servir de leçon: Quoi qu'il arrive, il faut toujours prévoir une récupération locale du système, avec une portion de la flash en lecture seule matérielle activée avec un bouton ou un jumper...

dhyd

  • Abonné FAI autre
  • *
  • Messages: 177
bjr
Je cite "La seule question qui reste maintenant en suspends, plus par curiosité que par réel utilité, c'est comment les russes ont fait exactement".
.
Et bien selon le même principe que les opérateurs qui utilisent ce satellite en envoyant un fichier de mise à jour piraté avec les bonnes infos pour rendre un modem qui télécharge cette mise à jour soit HS au redémarrage.
Trouver le fichier de mise à jour n'est pas trop compliqué si on possède au moins un modem compatible, après il faut les codes de connexion au sat, ce qui je pense pour les Russes ne doit pas être difficile à trouver.
 

MoXxXoM

  • Abonné Starlink
  • *
  • Messages: 708
Trouver le fichier de mise à jour n'est pas trop compliqué si on possède au moins un modem compatible, après il faut les codes de connexion au sat, ce qui je pense pour les Russes ne doit pas être difficile à trouver.

Non le sat est transparent (et en plus sans être sous un spot gateway / TMTC -télémesure/télécontrôle- je pense pas que ça soit possible d'atteindre la conf de la charge utile), et ça a déjà été dit c'est clairement le segment sol qui a été compromis, donc surement les italiens de Skylogic qui gère l'exploitation de Ka-Sat, entres autres. L'opérateur ukrainien impacté (Datagroup) indique sur un /22 que ces IPs sont lié à Skylogic ("mnt-by: SKYLOGIC-MNT" & "descr: Skylogic Inet" dans les objets ripe).
« Modifié: 10 mars 2022 à 09:37:06 par MoXxXoM »