Uno de los incidentes de ciberseguridad más importantes relacionados con la guerra de Rusia contra Ucrania fue un ataque «multifacético» contra la red KA-SAT del proveedor de satélites Viasat el 24 de febrero, una hora antes de que comenzara la invasión rusa.
El asalto, que tanto Ucrania como las autoridades de inteligencia occidentales atribuyen a Rusia, pretendía degradar el mando y control nacional ucraniano.
Sin embargo, el ataque, que se localizó en una única red KA-SAT de consumo operada en nombre de Viasat por otra empresa de satélites, una filial de Eutelsat llamada Skylogic, interrumpió el servicio de banda ancha a varios miles de clientes ucranianos y a decenas de miles de otros clientes de banda ancha fija en toda Europa.
También puso de manifiesto que los activos basados en el espacio, como los satélites, son tan vulnerables a la explotación maliciosa como cualquier otra pieza de infraestructura crítica.
Con este telón de fondo, el momento era perfecto para el Simposio de Ciberseguridad Espacial III organizado por el Instituto Nacional de Normas y Tecnología (NIST) de Estados Unidos la semana pasada. «Los ciberataques multifacéticos y deliberados que tuvieron lugar durante la invasión ponen de manifiesto la necesidad de que el Gobierno de los Estados Unidos trabaje con nuestros socios internacionales y con el sector privado, para reforzar la ciberresistencia de los sistemas espaciales existentes y futuros», declaró Richard DalBello, director de la Oficina de Comercio Espacial de la Administración Nacional Oceánica y Atmosférica de los EE. UU., al inaugurar la cumbre.
«Aunque la comunidad de inteligencia y el gobierno se centran en el tema, su contribución a la vida diaria de una persona promedio sigue siendo en gran medida invisible, de una manera que no lo son otros temas de seguridad nacional como el terrorismo, los fenómenos meteorológicos extremos, o incluso la delincuencia organizada transnacional», dijo Holly Shorrock, analista de inteligencia en el Departamento de Seguridad Nacional de Estados Unidos.
Los sistemas espaciales se enfrentan a ciberamenazas
Shorrock explicó que cualquier sistema espacial consta de tres componentes: segmentos terrestres, espaciales y de enlace. «Cada uno de estos tres segmentos es vulnerable a los ciberataques», dijo.
«Puede que a algunos les sorprenda, porque antes se suponía que los sistemas espaciales estaban generalmente aislados de las ciberamenazas. Otra suposición era que los sistemas comerciales también estaban algo aislados. Sin embargo, el panorama del espacio ha cambiado significativamente, y ahora los gobiernos y los ejércitos dependen de los sistemas comerciales, por lo que nuestra comprensión del panorama de las ciberamenazas también ha cambiado significativamente».
Aunque los tres componentes son vulnerables a los ciberataques, los segmentos de tierra y de enlace son los vectores de ataque más atractivos y fáciles, como se demostró en el ataque a Viasat. Lanzar un ciberataque contra activos en el espacio es el ataque de último recurso, dijo Shorrock.
Los efectos de propagación son un problema crítico
Shorrock dijo a los asistentes al simposio que si hay que prestar atención a una cosa cuando se trata de ciberataques a satélites, es que pueden tener efectos indirectos perjudiciales. «Independientemente de los segmentos atacados, un ataque a un sistema espacial situado dentro de una zona de conflicto puede tener efectos indirectos fuera de esa zona, lejos del área de conflicto, afectando a las empresas y a otros consumidores de servicios basados en el espacio, mucho más allá de las fronteras del conflicto», dijo.
Estos efectos indirectos pueden persistir durante varias semanas o incluso meses después del ataque, causando potencialmente daños a la reputación del proveedor de servicios y planteando dudas sobre la fiabilidad de los servicios espaciales. Además, «la empresa atacada incurrirá casi con toda seguridad en la carga financiera que supone restablecer el servicio, arreglar el hardware y mitigar de otro modo el ataque».
Los efectos del ataque a Viasat se extendieron hasta Marruecos, y algunos de ellos duraron más de un mes. Shorrock ofreció el ejemplo de una empresa energética alemana que perdió la supervisión y el control remotos de 5.800 turbinas eólicas.
«Más de un mes después del ciberataque, 193 parques eólicos seguían interrumpidos», dijo. «Según la empresa de energía, esta interrupción supuestamente provocó que la monitorización de los datos de los parques eólicos se desconectara, haciendo que el convertidor de energía eólica fuera vulnerable a nuevos ataques de ciberdelincuentes u otros actores maliciosos».
Rusia también ha lanzado distintos ataques de suplantación e interferencia contra Ucrania
Desde que invadió Ucrania, Moscú ha recurrido a otros tipos de ataques contra los satélites, como la suplantación de identidad y la interferencia de señales, dijo Shorrock. «La suplantación de los sistemas globales de navegación por satélite (NSS), de los que el GPS es un tipo, es fácil y barata, lo que la convierte en una táctica atractiva para las organizaciones criminales y los militares.
Rusia, en particular, ha sido asociada públicamente con esta táctica desde 2017 y la ha empleado en el actual conflicto con Ucrania con efectos indirectos documentados que impactan en la infraestructura y las actividades comerciales fuera de la zona de conflicto».
Al igual que ocurrió con el ataque de Viasat, la suplantación rusa de NSS también creó efectos indirectos perjudiciales. «Según los informes del sector de la seguridad aérea de la Unión Europea, las señales como el GPS cerca de las fronteras de la zona de conflicto, y en otras áreas que se extienden hasta Israel, han sido interferidas y suplantadas durante el conflicto entre Rusia y Ucrania.
Los efectos de estas interferencias han afectado al sector de la aviación, provocando la suspensión de algunos vuelos durante una semana, según Shorrock. «Algunos aviones tuvieron que invertir su rumbo en pleno vuelo y, al menos en otro caso, estos efectos indirectos hicieron que el avión no pudiera realizar maniobras de aterrizaje con seguridad».
La interferencia de señales de Rusia también ha causado daños en Ucrania. «Una segunda empresa que proporciona comunicaciones por satélite en Ucrania fue víctima de la interferencia rusa de sus señales. En ese caso, el director de la empresa declaró públicamente que los demás proyectos de la empresa podrían retrasarse debido a que la empresa tenía que desviar sus recursos para contrarrestar los ataques electrónicos», dijo Shorrock.
La experiencia de Viasat
Phil Mar, vicepresidente y director de tecnología de sistemas gubernamentales de Viasat, dijo que cuando el NIST le invitó el año pasado a intervenir en la cumbre, «pensé que utilizaría un hipotético evento cibernético para preparar el terreno, como he hecho muchas veces cuando hablo en una conferencia como ésta.
Siempre me resulta incómodo hablar en nombre de lo que le ocurrió a otras personas. Pero, como dice la cita del musical Hamilton, yo estaba en la sala cuando esto ocurrió. Así que esta vez utilizaré un hecho real».
Mar dijo que a principios del 24 de febrero, Skylogic empezó a experimentar degradaciones y «observamos volúmenes realmente altos de tráfico malicioso que llegaba a las redes desde los módems de varios clientes y los equipos asociados en las instalaciones del cliente». El personal de Viasat y Skylogic trabajó para expulsar el tráfico malicioso de la red, pero entonces empezó a observar que los módems se caían de la red.
Al final, miles de módems se cayeron de la red durante el ataque sin que se observaran esfuerzos para volver a conectarlos. El análisis posterior de la red identificó intrusiones desde tierra, que exploraban varias configuraciones para obtener acceso al segmento de gestión de la red del proveedor de satélites.
El ataque se desplazó unilateralmente a través de la red de confianza y a una sesión de red específica que la empresa utiliza para gestionar y operar la red.
El ataque ejecutó comandos específicos en un gran número de módems residenciales, para anular los datos críticos de la memoria flash y hacer que los módems no pudieran acceder a la red.
Los equipos forenses de Viasat fueron capaces de revertir el ataque en aproximadamente 24 horas y comenzar la restauración de las redes. «En este caso concreto, aprendimos mucho. Aprendimos [qué técnica funcionaría y qué] hizo que pudiéramos restaurar la red tan rápidamente, y en retrospectiva, qué podemos hacer mejor».
NotiVeraz