Venemaa ründas kõigepealt kosmosest: mõni tund enne Ukraina sõda viidi rivist välja satelliidivõrk (3)

24. veebruaril, vaid mõni tund enne seda, kui Venemaa okupatsiooniväed alustasid Ukraina annekteerimist, lakkasid järjest töötamast tuhanded Viasati modemid Ukrainas ja selle naaberriikides. Kadus nii telepilt kui võrguühendus. Saksamaal seiskusid samal ajal 5800 Enerconi elektrituulikut ja kaugetes piirkondades Poolast Prantsusmaani katkes kodudest ühendus muu maailmaga. Esialgu sellest suurelt ei räägitud, põhjuseid otsiti tarkvaraveast või siis kahtlustati mõne häkkerirühmituse õnnestunud üritust.

Eile aga väljastas Euroopa Liit suure küberrünnaku kohta pressiteate, sedasama tegi ka USA valitsus, nimetades kahju tekitajaks Venemaa riiklikke struktuure.

«Küberrünnak toimus tund enne Venemaa provotseerimata ja põhjendamatut sissetungi Ukrainasse 24. veebruaril 2022, lihtsustades sõjalist agressiooni,» kirjutati EL-i ametlikus avalduses. «See avaldas suurt mõju, põhjustades valimatuid sidekatkestusi ja häireid Ukraina ametiasutustes, ettevõtetes ja erakasutajate juures ning mõjutades mitut ELi liikmesriiki.»

«USA jagab täna Euroopa Liidu ja teiste partnerite toetuseks avalikult oma hinnangut, et Venemaa korraldas veebruari lõpus küberrünnakuid kommerts-satelliitsidevõrkude vastu, et häirida Ukraina juhtimist ja kontrolli sissetungi ajal ning nendel oli ülekanduv mõju teistele Euroopa riikidele,» kirjutas USA riigisekretär Antony J. Blinken oma avalduses. «See tegevus halvas väikeses ulatuses sideterminale Ukrainas ja kogu Euroopas.»

Rivist suudeti välja viia satelliidivõrgu KA-SAT seadmed, mida opereerib USA ettevõte Viasat. Satelliit ise jäi küll terveks, kuid maapealsed satelliidiga ühendust pidavad modemid lõpetasid töötamise.

Küberrünnak kahes vaatuses

Küberturvalisuse ettevõte SentinelOne avaldas kuu aega hiljem, et satelliidivõrgu ründes kasutatud pahavara analüüs paljastas mitmeid tehnilisi sarnasusi tarkvarakoodiga VPNFilter, mis avastati 2018. aastal enam kui poolest miljonist kodu- ja väikekontori modemist.

30. märtsil avaldas Viasat lõpuks põhjuse, miks satelliidivõrk rivist väljas oli. Ettevõtte sõnul toimus rünnak kahes faasis: esiteks teenustõkestusrünnak ehk DDoS, mis pärines mitmetest SurfBeam2 ja SurfBeam2+ tüüpi modemitest ja muudest füüsiliselt Ukrainas asuvatest seadmetest. Teises laines Viasati sõnul «kirjutati ülevõetud modemitele sisu hävitavad käsud, mis kirjutasid modemite välkmälus asuva koodi üle, muutes seadmed kasutuks, kuid mitte veel püsivalt kasutuskõlbmatuks».

Kõik see viis ajutiselt KA-SAT-i satelliidiga ühenduses olevad modemid massiliselt võrgust välja.

«Happevihm» Vene riiklikelt häkkeritelt

SentinelOne avastas Vene jälje 15. märtsil, kui nende töötaja tähelepanu köitis kahtlane üleslaadimine Itaaliast VirusTotali saidile.

Nimelt leiti sealt binaarfail nimega ukrop. Esialgu ei teatud, kas see nimi vihjab Ukraina Patriootide Ühendusele või on hoopis venelaste kasutatav ukrainlasi solvav väljend «Укроп». Viasati juhtumi uurijad leidsid, et see oli tegelikult satelliidivõrgu rünnakul kasutatud pahavara.

Täpsema uurimisega leiti pahavaras kattumisi varasemate Venemaa operatsioonidega.

Tegemist oli AcidRaini nimelise pahavaraga («Happevihm»), mis toimis lihtsalt ja jõhkralt, kasutades Viasati modemite sisu hävitamiseks VPNFilteri lisandmoodulit. Isegi kui ründajad pole sihtmärgi püsivara üksikasjadega tuttavad, siis selle tööriistaga sai lihtsalt hävitada failisüsteemist kogu sisu ja muud polegi enam vaja teha.

Rünnak mõjus eriti laastavalt Saksamaa tuulepargile, kus kuu aega hiljem seisid 2000 elektrituulikut ikka veel küberrünnaku tagajärgede tõttu. Ka Ukraina satelliitside oli pikalt häiritud just selle rünnaku pärast, mille leevenduseks saatis Elon Musk riiki autotäie Starlinki kosmoseinterneti jaamu. Needki sattusid küberrünnaku alla, kuid tarkvarauuendusega saadi sellest mööda.