K metro 0 – Kiev – Un cyberattacco che ha preso di mira una rete satellitare utilizzata dal governo e dalle agenzie militari dell’Ucraina poco dopo l’invasione della Russia, ha anche messo fuori linea decine di migliaia di utenti internet a banda larga in tutta Europa. L’ha rivelato oggi Viasat, il proprietario del satellite.

Con sede a Carlsbad, in California, negli Stati Uniti, Viasat ha fornito nuovi dettagli su come il più grande attacco elettronico conosciuto nella guerra finora è stato condotto, e quanto ampio sia stato il raggio dell’impatto. Colpiti, infatti, gli utenti dalla Polonia alla Francia, con migliaia di turbine eoliche in Europa centrale messe fuori uso.

Viasat non ha indicato tuttavia chi crede sia il responsabile dell’attacco. I funzionari ucraini hanno invece incolpato gli hacker russi. L’offensiva a Viasat – proprio mentre la Russia stava lanciando la sua invasione – è stata considerato da molti un presagio di un’ondata di gravi cyberattacchi che si estendono oltre l’Ucraina. Ma, finora, non si sono materializzati, anche se i ricercatori della sicurezza dicono che le operazioni informatiche di maggior impatto legate alla guerra si stanno probabilmente verificando nell’ombra. Sono stati effettuati invece una serie di attacchi minori, molti in apparenza condotti da volontari.

L’incursione informatica ha però evidenziato come la tecnologia satellitare che serve clienti militari e non, può essere presa di mira facilmente in un conflitto, con ripercussioni per individui e aziende comunque lontane dal campo di battaglia. L’attacco nelle prime ore del 24 febbraio sulla rete satellitare KA-SAT è iniziato con una distribuzione di denial-of-service che ha messo fuori uso un gran numero di modem. Poi si è spostato in un colpo distruttivo in cui un aggiornamento software maligno distribuito attraverso la rete ha reso decine di migliaia di modem in tutta Europa inutilizzabile sovrascrivendo la loro memoria interna.

Viasat ha così riferito di aver spedito 30.000 modem sostitutivi ai clienti penalizzati in tutto il Vecchio continente, la maggior parte dei quali usano il servizio per l’accesso a internet con la banda larga residenziale.

Grave pertanto la perdita di comunicazioni in Ucraina nelle prime ore dell’invasione della Russia. Alla domanda della stampa all’inizio di marzo su chi fosse responsabile, il massimo funzionario ucraino della sicurezza informatica Victor Zhora ha così risposto: “Non abbiamo bisogno di attribuirlo poiché abbiamo prove evidenti che è stato organizzato da hacker russi per interrompere la connessione tra i clienti che utilizzano questo sistema satellitare”.

Zhora ha poi aggiunto di non avere informazioni sul fatto che il servizio sia stato ripristinato e non poteva dire quali agenzie ucraine oltre a quelle militari sono state colpite. I contratti mostrano, tuttavia, che l’agenzia di Zhora, il Servizio statale per le comunicazioni speciali, è tra i clienti che includono anche agenzie di polizia e varie municipalità.

Viasat ha chiarito che l’attacco iniziale era partito da modem all’interno dell’Ucraina. Non ha specificato come il malware distruttivo è entrato nella rete, se non per precisare che una “cattiva configurazione” in un apparecchio di rete privata virtuale è stata compromessa, permettendo agli aggressori di ottenere l’accesso remoto. Una volta all’interno della rete, gli aggressori sono stati in grado di distribuire un aggiornamento software che colpisce decine di migliaia di modem in tutta Europa.

Permane dunque il dubbio su come gli aggressori hanno violato l’apparecchio VPN; il ricercatore di cybersicurezza satellitare Ruben Santamarta ha dichiarato che era importante sapere se avevano ottenuto le credenziali o sfruttato una vulnerabilità nota. Viasat ha rifiutato di fornire altre informazioni specifiche, rispondendo che c’è un’indagine in corso. La rete a terra è gestita da Skylogic, una filiale italiana di Eutelsat, da cui Viasat ha acquistato il satellite KA-SAT nell’aprile dello scorso anno. L’indagine di Viasat sull’attacco è stata seguita invece dalla società di cybersicurezza statunitense Mandiant.