Các hacker đã làm tê liệt hàng vạn modem vệ tinh ở Ukraine và khắp châu Âu vẫn đang cố gắng tấn công Viasat khi công ty viễn thông Mỹ này cố đưa người dùng trực tuyến trở lại.
Một quan chức của công ty Viasat tiết lộ thông tin trên với Reuters.
Viasat đang nỗ lực để phục hồi sau cuộc tấn công mạng vô hiệu hóa từ xa các modem kết nối với vệ tinh KA-SAT ngay khi lực lượng Nga tấn công Ukraine vào đầu ngày 24.2.
Quan chức Viasat (không muốn tiết lộ danh tính) nói cuộc tấn công mạng được phát động gần như chính xác cùng thời điểm Nga đưa quân vào Ukraine, sử dụng "khối lượng lớn lưu lượng tập trung, độc hại" để cố gắng áp đảo mạng của Viasat và vẫn đang tiếp tục.
"Chúng tôi vẫn đang chứng kiến một số nỗ lực có chủ đích", quan chức này cho biết hôm 30.3.
Ông nói rằng Viasat đến nay đã chống lại hacker bằng các biện pháp phòng thủ, nhưng "chúng tôi đã thấy những nỗ lực lặp đi lặp lại của kẻ tấn công này nhằm thay đổi mô hình, qua đó kiểm tra các biện pháp giảm thiểu và phòng thủ mới".
Một báo cáo được công bố vào đầu ngày 30.3, trong đó phác thảo cách thức các hacker phá hoại một cách có hệ thống các modem vệ tinh trên khắp châu Âu, đặc biệt là ở Ukraine, vào sáng 24.2.
Ảnh hưởng chính xác của sự cố modem ngừng hoạt động ở Ukraine vẫn chưa rõ ràng, nhưng vụ tấn công mạng đã gây ra "tổn thất thực sự lớn về liên lạc" ngay từ đầu cuộc chiến với Nga. Quan chức an ninh mạng Ukraine - Victor Zhora nói điều này với các phóng viên trong một cuộc họp báo vào ngày 15.3.
Vài chi tiết khác đã được công bố kể từ đó. Hôm 25.3, tờ The Washington Post cho biết các nhà phân tích Mỹ tin rằng các hacker đang làm việc cho cơ quan tình báo quân sự của Nga.
Báo cáo của Viasat không xác định danh tính các hacker. Quan chức Viasat cho biết công ty sẽ không bình luận về người có thể chịu trách nhiệm.
Đại sứ quán Nga tại Mỹ không phản hồi về những nỗ lực lặp đi lặp lại nhằm tìm kiếm bình luận về vụ hack.
Báo cáo từ Viasat cho biết những kẻ xâm nhập đã lợi dụng một thiết bị mạng riêng ảo (VPN) bị cấu hình sai để truy cập từ xa vào mạng quản lý vệ tinh KA-SAT của công ty, do Skylogic (công ty có trụ sở tại Ý) điều hành và phục vụ khách hàng trên khắp châu Âu.
Báo cáo nói rằng chính từ bên trong mạng, các hacker đã gửi các lệnh giả mạo đến hàng vạn modem cùng lúc, ghi đè các phần dữ liệu quan trọng trong bộ nhớ của thiết bị và khiến chúng không thể hoạt động được.
Theo báo cáo, vụ tấn công gây rối bắt đầu vào khoảng 6 giờ 15 sáng theo giờ Ukraine ngày 24.2 và cuối cùng làm tê liệt phần lớn modem của Viasat ở Ukraine. Cuộc tấn công sử dụng lưu lượng truy cập độc hại đã bắt đầu khoảng 1 giờ trước đó.
Viasat từ chối cung cấp số liệu toàn cầu về các thiết bị bị lỗi nhưng báo cáo cho biết gần 30.000 modem mới đã được chuyển đến các nhà phân phối để đưa khách hàng trực tuyến trở lại.
Cơ quan tình báo Mỹ truy tìm hacker phá hoại internet vệ tinh của Viasat
Các nhà phân tích của Cơ quan An ninh Quốc gia Mỹ, tổ chức an ninh mạng ANSSI của chính phủ Pháp và tình báo Ukraine đang đánh giá xem liệu vụ phá hoại từ xa dịch vụ Viasat có phải là hành động của các hacker từ Nga không.
Một trong những cuộc tấn công mạng quan trọng nhất trong thời chiến được tiết lộ công khai đến nay đã thu hút sự quan tâm của tình báo phương Tây vì Viasat đóng vai trò là nhà thầu quốc phòng cho cả Mỹ và nhiều đồng minh.
Các hợp đồng chính phủ mà hãng tin Reuters thu thập được cho thấy KA-SAT cung cấp kết nối internet cho các đơn vị quân đội và cảnh sát Ukraine.
Theo Pablo Breuer, cựu kỹ sư công nghệ của Bộ chỉ huy các hoạt động đặc biệt của Mỹ (SOCOM), việc loại bỏ kết nối internet vệ tinh có thể làm mất khả năng của Ukraine trong việc chống lại các lực lượng Nga.
Pablo Breuer cho biết: "Nếu đang sử dụng các hệ thống thông minh hiện đại, vũ khí thông minh, cố gắng thực hiện các cuộc diễn tập vũ khí kết hợp, bạn phải dựa vào các vệ tinh này".
Nga đã nhiều lần bác bỏ các cáo buộc rằng họ tham gia vào các cuộc tấn công mạng.
Bao vây các thành phố Ukraine, Nga bị phương Tây cáo buộc tấn công vô cớ và dẫn đến các biện pháp trừng phạt nghiêm khắc nước này.
Theo Jaroslav Stritecky, người điều hành công ty viễn thông INTV (Cộng hòa Séc), các modem bị ảnh hưởng dường như không hoạt động hoàn toàn. Ông nói thông thường, 4 đèn trạng thái trên modem SurfBeam 2 của Viasat sẽ cho biết chúng đã được kết nối với internet chưa. Sau cuộc tấn công mạng, đèn trên các modem do Viasat sản xuất hoàn toàn không bật.
Trước đó, quan chức Viasat nói một cấu hình sai trong phần Management của mạng vệ tinh cho phép hacker truy cập từ xa vào modem, khiến chúng ngoại tuyến. Ông cho biết hầu hết các thiết bị bị ảnh hưởng sẽ cần được lập trình lại tại chỗ bởi kỹ thuật viên hoặc tại kho sửa chữa và một số thiết bị sẽ phải thay thế.
KA-SAT và các trạm mặt đất liên quan, mà Viasat đã mua năm ngoái từ công ty Eutelsat (Pháp), vẫn được điều hành bởi một công ty con của Eutelsat.
Viasat đã thuê công ty an ninh mạng Mandiant (Mỹ), chuyên theo dõi các hacker do nhà nước tài trợ, để điều tra vụ xâm nhập, theo hai người quen thuộc với vấn đề này.
Viasat nói các khách hàng chính phủ mua dịch vụ trực tiếp từ công ty không bị ảnh hưởng bởi sự gián đoạn. Tuy nhiên, mạng KA-SAT được vận hành bởi một bên thứ ba, do đó mạng lưới này sẽ cung cấp dịch vụ thông qua các nhà phân phối khác nhau.
Trong vài năm qua, các dịch vụ quân sự và an ninh Ukraine đã mua một số hệ thống liên lạc khác nhau chạy qua mạng của Viasat, theo các hợp đồng được đăng trên ProZorro (nền tảng minh bạch của Ukraine).
Một số nhà phân phối internet vẫn đang chờ được thay thế thiết bị của họ.
Jaroslav Stritecky nói không đổ lỗi cho Viasat. Ông nhớ lại mình đã đi làm vào buổi sáng 24.2, nhìn thấy màn hình hiển thị vùng phủ sóng vệ tinh khu vực ở Cộng hòa Czech, Slovakia và Ukraine đều có màu đỏ (tức mất kết nối).