Auteur Sujet: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022  (Lu 31926 fois)

0 Membres et 2 Invités sur ce sujet

petrus

  • Expert AS206155
  • Expert
  • *
  • Messages: 1 064
Nouvel article intéressant avec pas mal de détails techniques sur les vecteurs d'attaque via le tr069 : https://www.reversemode.com/2022/03/viasat-incident-from-speculation-to.html

Nico

  • Modérateur
  • *
  • Messages: 44 449
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
Russian cyber operations against Ukraine: Declaration by the High Representative on behalf of the European Union

The European Union and its Member States, together with its international partners, strongly condemn the malicious cyber activity conducted by the Russian Federation against Ukraine, which targeted the satellite KA-SAT network, operated by Viasat.

https://www.consilium.europa.eu/fr/press/press-releases/2022/05/10/russian-cyber-operations-against-ukraine-declaration-by-the-high-representative-on-behalf-of-the-european-union/

vivien

  • Administrateur
  • *
  • Messages: 47 083
    • Twitter LaFibre.info
Traduction en Français :

Cyberopérations russes contre l'Ukraine: déclaration du haut représentant au nom de l'Union européenne

L'Union européenne et ses États membres, ainsi que ses partenaires internationaux, condamnent fermement la cyberattaque menée par la Fédération de Russie contre l'Ukraine, qui ciblait le réseau satellitaire KA-SAT, exploité par Viasat.

La cyberattaque a eu lieu une heure avant l'invasion non provoquée et injustifiée de l'Ukraine par la Russie le 24 février 2022, facilitant ainsi l'agression militaire. Cette cyberattaque a eu un impact significatif provoquant des interruptions et des perturbations de communication aveugles dans plusieurs autorités publiques, entreprises et utilisateurs en Ukraine, ainsi qu'affectant plusieurs États membres de l'UE.

Cette cyberattaque inacceptable est un autre exemple du comportement continu et irresponsable de la Russie dans le cyberespace, qui fait également partie intégrante de son invasion illégale et injustifiée de l'Ukraine. Un tel comportement est contraire aux attentes établies par tous les États membres de l'ONU, y compris la Fédération de Russie, en matière de comportement responsable des États et aux intentions des États dans le cyberespace.

Les cyberattaques visant l'Ukraine, y compris contre des infrastructures critiques, pourraient se propager à d'autres pays et avoir des effets systémiques mettant en danger la sécurité des citoyens européens.

L'Union européenne, en étroite collaboration avec ses partenaires, envisage de prendre de nouvelles mesures pour prévenir, décourager, dissuader et réagir à de tels comportements malveillants dans le cyberespace. L'Union européenne continuera de fournir un soutien politique, financier et matériel coordonné à l'Ukraine pour renforcer sa cyber-résilience.

La Russie doit arrêter cette guerre et mettre fin immédiatement aux souffrances humaines insensées.

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
« Réponse #171 le: 17 septembre 2023 à 09:42:04 »
Viasat vient de faire une présentation à DEF CON 31 revenant sur l'attaque:

vivien

  • Administrateur
  • *
  • Messages: 47 083
    • Twitter LaFibre.info
Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
« Réponse #172 le: 17 septembre 2023 à 11:45:15 »
Très intéressant...

Merci pour le partage.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
« Réponse #173 le: 17 septembre 2023 à 12:08:47 »
Bon, j'ai regardé, et je ne suis pas sûr que l'on ait appris grand chose de plus que ce que l'on soupçonnait déjà. A part qu'il y a eu deux types d'attaques, dont l'une sur le protocole DHCP, pour provoquer l'arrêt de terminaux. Mais la principale, celle que l'on a bien vue, c'est via un accès VPN (Fortigate) à Turin, à partir d'identifiants compromis, donnant accès à un serveur de management, via là aussi des identifiants compromis, servant ensuite à charger sur les modems satellites un binaire effaçant les firmwares, le principal, et celui de secours, et envoyant à la fin un ordre de reboot, les laissant briqués.

Aucune faille de sécurité (CVE) utilisée, à leur connaissance.

Bon, on peut regretter que le nom du propriétaire du fichier, le binaire en question, et de celui de la dernière modification ont été masqués.  Peut-être cela aurait pu donner quelques indications utiles ?
« Modifié: 17 septembre 2023 à 13:24:24 par alain_p »