Skip to content
Cyber Breaches
Recherche
WiperContenu

Wiper AcidRain contre Viasat KA-SAT

Une heure avant l'invasion de l'Ukraine par la Russie, les opérateurs de Sandworm ont déployé le wiper AcidRain contre les modems satellite Viasat KA-SAT, neutralisant définitivement environ 30 000 terminaux européens et 5 800 éoliennes allemandes, et privant le commandement et le contrôle militaires ukrainiens de leurs communications.

Victime
Viasat KA-SAT (abonnés en Ukraine et en Europe)
Perte
$100.0M
utilisateurs
30.0K
SecteurTélécomsÉnergieDéfense
PaysUkraineAllemagneFranceItaliePologne
GroupeSandwormGRU Unit 74455
Attaquants nommésSandworm Six (GRU Unit 74455)

Vers 04h45 UTC le 24 février 2022une heure avant le début de l'invasion à grande échelle de l'Ukraine par les forces russes — des opérateurs de Sandworm (Unité 74455 du GRU russe) ont déployé un wiper jusqu'alors inconnu baptisé AcidRain contre l'infrastructure d'administration du réseau satellite KA-SAT de Viasat. Le wiper a neutralisé définitivement environ 30 000 modems satellite à travers l'Europe, dont :

  • Des terminaux de commandement et de contrôle militaires ukrainiens dépendant de KA-SAT pour leurs communications en première ligne.
  • ~5 800 éoliennes allemandes exploitées par Enercon qui utilisaient KA-SAT pour leur supervision à distance.
  • Des abonnés civils au haut débit par satellite en France, en Italie, en Pologne et dans d'autres pays européens, dépendant de KA-SAT pour leur connectivité en zone rurale.

L'attaque constituait, dans sa conception opérationnelle, la salve d'ouverture du volet cyber de la guerre — une dégradation délibérée des communications militaires ukrainiennes synchronisée avec l'invasion.

Ce qui s'est passé

Les opérateurs de Sandworm s'étaient pré-positionnés sur les systèmes de Skylogic, l'opérateur du segment sol de Viasat dont le siège est à Turin, en Italie, et qui gérait l'infrastructure d'administration de KA-SAT. Le vecteur d'accès initial était un boîtier VPN mal configuré doté d'une authentification faible.

À 23h00 UTC le 23 février 2022, les opérateurs se sont authentifiés sur le réseau d'administration de Skylogic. Au cours des heures suivantes, ils ont :

  • Rebondi vers le sous-système de gestion des modems chargé de diffuser les mises à jour de firmware et la configuration aux modems des abonnés.
  • Préparé la charge utile du wiper AcidRain.

À 04h45 UTC le 24 février, AcidRain a été déployé via le plan d'administration des modems. Le wiper :

  • A parcouru chaque périphérique de stockage du firmware du modem : mémoire flash série, RAM, eMMC.
  • A écrasé des régions critiques du firmware du modem avec des zéros ou des données aléatoires.
  • A émis une commande de redémarrage, garantissant que le modem tenterait de démarrer à partir du firmware désormais corrompu et échouerait.

Le résultat fut une neutralisation matérielle permanente — les modems affectés n'étaient pas récupérables par reflashage du firmware, car le chargeur d'amorçage et la partition de récupération avaient été effacés. Le remplacement physique de chaque modem affecté était la seule remédiation possible.

Impact

  • ~30 000 modems SATCOM neutralisés à travers l'Europe, nécessitant un remplacement physique.
  • Dégradation du commandement et du contrôle militaires ukrainiens au moment de l'invasion. Les communications publiques de responsables ukrainiens ont reconnu que les unités de première ligne avaient perdu leur principal canal de commandement durant les premières heures de la guerre. Des canaux de secours (LTE, fibre lorsqu'elle était présente, radio terrestre) ont été utilisés ; KA-SAT lui-même n'a pas été rétabli avant plusieurs semaines.
  • 5 800 éoliennes Enercon en Allemagne ont perdu leur supervision à distance. Les turbines ont continué de produire de l'électricité, mais Enercon ne pouvait plus effectuer de maintenance, de diagnostic ni d'intervention d'urgence à distance. La « perte de supervision » constituait une dégradation de la sécurité plutôt qu'une panne.
  • Des dizaines de milliers d'abonnés civils européens ont perdu leur connectivité haut débit par satellite, dans de nombreux cas pendant des semaines, le temps que les modems de remplacement soient expédiés.
  • Coût direct total pour Viasat : ~100 millions de dollars en remplacement de modems, service client et remédiation.

Attribution

Le 10 mai 2022, l'UE, le Royaume-Uni, les États-Unis, le Canada, l'Australie, la Nouvelle-Zélande et l'Estonie ont attribué conjointement l'attaque contre KA-SAT au gouvernement russe, en s'appuyant sur des renseignements et des preuves médico-légales. L'attribution l'a inscrite dans la lignée opérationnelle de Sandworm / Unité 74455 du GRU, qui inclut NotPetya (2017), le destructeur de PyeongChang 2018 et les attaques contre le réseau électrique ukrainien de 2015 et 2016.

Aucun individu spécifique n'a été désigné pour l'attaque contre KA-SAT au-delà de l'inculpation plus large des Sandworm Six d'octobre 2020. Les opérations continues de cette même unité contre les infrastructures critiques ukrainiennes tout au long de l'invasion de 2022 — Industroyer2 contre le réseau électrique ukrainien, campagnes persistantes de wipers contre les réseaux gouvernementaux ukrainiens — s'inscrivent dans la continuité opérationnelle de l'opération KA-SAT.

Pourquoi c'est important

Viasat / KA-SAT constitue le cas canonique de la cyberattaque comme ouverture d'un conflit cinétique. Il a établi :

  • Que des acteurs étatiques peuvent se pré-positionner dans des infrastructures de communication commerciales pour les exploiter à des moments stratégiquement choisis. L'accès à Skylogic n'a pas été détecté et a été militarisé opérationnellement au moment exact où il présentait une valeur militaire.
  • Que les attaques de firmware par wiper contre des terminaux de classe IoT (modems satellite, dans ce cas ; mais aussi équipements domotiques, contrôleurs industriels, télématique des véhicules) constituent une catégorie de dommages irréversibles, distincte de la perte de données ou des rançongiciels. Les 30 000 modems affectés ont nécessité des remplacements physiques, et non une récupération logicielle.
  • Que les réseaux satellite commerciaux sont des infrastructures à double usage, acheminant à la fois du trafic militaire et civil. Une opération ciblée contre des utilisateurs militaires via le plan d'administration a provoqué des dommages collatéraux civils à l'échelle d'un continent.
  • Qu'une attribution rapide à une décision d'un gouvernement occidental peut être émise lorsque l'opération s'aligne sur un contexte géopolitique évident. L'attribution de mai 2022 est intervenue moins de trois mois après l'événement — rapidement au regard des standards historiques.

KA-SAT est désormais étudié dans tous les documents doctrinaux portant sur l'intégration des opérations cyber et militaires conventionnelles. Le basculement rapide ultérieur de l'armée ukrainienne vers Starlink pour ses communications en première ligne — facilité par l'offre de terminaux d'Elon Musk — constitue la leçon opérationnelle la plus visible de l'incident.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
100.0M
USD · 100 000 000 $US
  • Perte d’exploitation$70.0M
  • Remédiation$30.0M

Chronologie

  1. Les opérateurs de Sandworm s'authentifient sur le réseau d'administration de KA-SAT via un boîtier VPN mal configuré chez Skylogic, l'opérateur du segment sol de Viasat à Turin, en Italie.

  2. Le wiper AcidRain est déployé via le plan d'administration de KA-SAT vers les modems des abonnés à travers l'Europe. Environ 30 000 modems SATCOM sont neutralisés définitivement en quelques minutes — une heure avant l'entrée des forces russes sur le territoire ukrainien.

  3. Les forces russes lancent l'invasion à grande échelle de l'Ukraine. Les unités de commandement et de contrôle militaires ukrainiennes qui dépendent de KA-SAT pour leurs communications en première ligne perdent toute connectivité au moment même de l'invasion.

  4. L'exploitant éolien allemand Enercon découvre qu'environ 5 800 éoliennes ont perdu leur capacité de supervision à distance. Les turbines continuent de produire, mais Enercon ne peut plus effectuer de maintenance ni d'intervention à distance.

  5. Viasat reconnaît « une panne réseau » affectant les abonnés européens.

  6. SentinelOne Labs publie une analyse identifiant AcidRain — un wiper jusqu'alors inconnu — comme la charge utile.

  7. L'UE, le Royaume-Uni, les États-Unis, le Canada, l'Australie, la Nouvelle-Zélande et l'Estonie attribuent conjointement l'attaque contre KA-SAT au gouvernement russe.

Sources

  1. viasat.comhttps://www.viasat.com/about/newsroom/blog/ka-sat-network-cyber-attack-overview/
  2. sentinelone.comhttps://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/
  3. consilium.europa.euhttps://www.consilium.europa.eu/en/press/press-releases/2022/05/10/russian-cyber-operations-against-ukraine-declaration-by-the-high-representative-on-behalf-of-the-european-union/

Incidents liés

WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B
WiperRésolu

Attaque par effaceur contre Kyivstar

Le groupe Sandworm, lié à la Russie, a détruit des milliers de serveurs virtuels et de postes de travail chez Kyivstar, le premier opérateur mobile ukrainien, privant de service quelque 24 millions d'abonnés et perturbant les alertes aériennes, la banque et les paiements lors de la plus dommageable cyberattaque contre les télécoms ukrainiens depuis l'invasion de 2022.

Victim
Kyivstar
Loss
$95.0M
sabotageRésolu

Attaque contre le réseau électrique ukrainien — Industroyer (2016)

Le groupe Sandworm, lié à la Russie, a déployé Industroyer (CrashOverride), le premier logiciel malveillant conçu spécifiquement pour attaquer les réseaux électriques, contre un poste de transmission de Kyiv, coupant l'électricité d'environ un cinquième de la capitale pendant près d'une heure.

Victim
Ukrenergo (poste de transmission Pivnichna, Kyiv)
EspionnageContenu

Attaque contre le réseau électrique ukrainien — Sandworm BlackEnergy (2015)

Le groupe Sandworm, lié à la Russie, a utilisé l'hameçonnage ciblé, BlackEnergy3 et KillDisk pour actionner à distance les disjoncteurs de trois distributeurs régionaux d'électricité ukrainiens, coupant l'électricité d'environ 230 000 clients pendant 1 à 6 heures. Il s'agit de la première cyberattaque réussie publiquement reconnue contre un réseau électrique de l'histoire.

Victim
Distributeurs régionaux d'électricité ukrainiens (oblenergos)