美国卫星网中断事件复盘：管理后台遭入侵，数万Modem被下发破坏指令

此次攻击的目的是造成服务宕机。

2月24日俄乌冲突爆发时，覆盖乌克兰地区的美国卫星运营商Viasat遭遇网络攻击，导致数千乌克兰用户、数万名欧洲其他地区用户断网；

经调查，攻击者利用错误配置的VPN设备入侵卫星网管理后台，向数万用户侧Modem下发破坏性指令，从而造成断网；

为恢复网络服务，Viasat已经为用户更换了近3万个调制解调器。

前情回顾

3月30日，美国卫星通信服务商Viasat发布一份事件报告，详细披露了2月24日俄罗斯对乌克兰开战当天，该公司KA-SAT民用卫星网络服务遭遇网络攻击的细节。

KA-SAT卫星网络曾经被“乌克兰军方所频繁使用”。在被攻击期间，中欧及东欧地区的KA-SAT卫星服务均发生中断。

这次通信服务中断也影响到了德国，导致负责控制约5800台风力涡轮机的调制解调器无法正常联网。此外，来自法国、意大利、匈牙利、希腊和波兰的客户也受到不同程序影响。

Viasat公司在事件报告中证实，这次攻击直接影响到数千名乌克兰客户及数万名欧洲其他宽带客户。

报告还提到，由该公司直接管理的政府与移动客户、使用KA-SAT卫星及其他Viasat全球网络服务的用户未受到影响。

Viasat公司披露，“最终，数以万计此前稳定在线且处于活动状态的调制解调器在网络上掉线，并且此后没有尝试重新接入网络。”

利用错误配置的VPN设备入侵

Viasat公司表示，攻击者首先入侵管理网络，发出管理指令覆盖掉了设备闪存，由此关闭客户家中的调制解调器并导致其无法重新接入网络。但这只是掉线，并没有让这些设备“变砖”。

Viasat公司补充称，“通过后续调查与取证分析，我们确定攻击者是以错误配置的VPN设备为跳板，获得了对KA-SAT网络内受信任管理网段的远程访问权限。”

“攻击者通过受信管理网段进行横向移动，进入到负责网络管理及运营的特定网段，再向大量客户调制解调器同时发出合法且有针对性的管理指令。”

这次攻击造成的直接结果，就是数以万计的在线调制解调器从KA-SAT网络中断开，而且无法重新接入。

此次事件不仅影响到乌克兰国内大部分原本正常的调制解调器，也令欧洲其他地区的大量调制解调器意外离线。

Viasat公司已经对受到影响的调制解调器开展详细分析，确认不存在任何故障或电子元件异常，设备物理或电子元件并未受损，未发现损害或篡改Viasat调制解调器软件或固件镜像的迹象，也没有证据表明供应链受到过干扰。客户可以通过恢复出厂设置将调制解调器还原。截至目前，对于正常网络运营中使用的标准调制解调器软件或固件，Viasat公司没有在分发或更新流程中发现任何利用或破坏迹象。

为恢复网络服务，更换近3万个调制解调器

自2月下旬遭受网络攻击以来，Viasat已经发出近3万台调制解调器，以帮助客户重新联网，未来还将继续提供更多设备加快受影响客户的服务恢复。

Viasat公司表示，“我们认为此次攻击的目的就是要造成服务宕机。”

“目前没有证据表明有最终用户的数据遭到访问或泄露，客户的个人设备（PC、移动设备等）未遭非法访问，也没有证据表明KA-SAT卫星自身或公司使用的地面卫星接收设施受到直接针对、受损或入侵。”

美国政府目前也在调查Viasat黑客事件，并将事件初步定性为疑似俄罗斯国家支持的网络攻击。美国国安局发起了一项跨机构联合措施，希望与乌克兰情报部门一起“评估事件的影响范围与严重性”。

美国网络安全与基础设施安全局与联邦调查局还发布了一份联合咨询报告，就国内乃至全球卫星通信（SATCOM）网络面临的“潜在威胁”向相关美国组织发出警告。