L’américain Viasat vient de publier un rapport sur la défaillance de son satellite Ka-Sat au tout début de l’invasion dirigée par Vladimir Poutine contre l’Ukraine. Selon lui, la cyberattaque était multiforme et délibérée.
Dans la nuit du 23 au 24 février, « d’importants volumes de trafic malveillant ciblé ont été détectés en provenance de plusieurs modems […] et d’équipements d’abonné associés, situés en Ukraine et desservis par l’une des partitions de réseau KA-SAT ». Des dizaines de milliers de déconnexions ont eu lieu dans plusieurs pays d’Europe, y compris en France.
Viasat dit avoir fait appel à l’expert américain en cybersécurité Mandiant pour aider les autorités au cours de l’investigation. Il explique que l’intrusion a eu lieu du fait d’un VPN (Virtual Private Network) mal configuré, donnant dès lors la possibilité d’un déplacement latéral dans le réseau, à distance. L’attaquant « a utilisé cet accès au réseau pour exécuter des commandes de gestion légitimes et ciblées sur un grand nombre de modems résidentiels simultanément. »
Selon le rapport, aucun dégât matériel n’a été constaté. Certes, des dizaines de milliers de modems ont été touchés par les attaques de déni de service mais c’est seulement la partie logicielle qui a fait l’objet d’une violation. Pour autant, certains opérateurs, tel que Nordnet, préfèrent remplacer le matériel compromis plutôt que de le réinitialiser par remise à zéro.