Ativos baseados no espaço não são imunes a ataques cibernéticos

Um dos incidentes de segurança cibernética mais significativos relacionados à guerra da Rússia na Ucrânia foi um ataque “multifacetado” contra a rede KA-SAT do provedor de satélite Viasat em 24 de fevereiro, uma hora antes do início da invasão da Rússia. O ataque, que tanto a Ucrânia quanto as autoridades de inteligência ocidentais atribuem à Rússia, pretendia degradar o comando e controle nacional ucraniano.

No entanto, o ataque, que foi localizado em uma única rede KA-SAT de consumidor operada em nome da Viasat por outra empresa de satélite, uma subsidiária da Eutelsat chamada Skylogic, interrompeu o serviço de banda larga para vários milhares de clientes ucranianos e dezenas de milhares de outros clientes de banda larga fixa em toda a Europa. Isso também destacou como os ativos baseados no espaço, como satélites, são tão vulneráveis à exploração maliciosa quanto qualquer outra infraestrutura crítica.

Nesse cenário, o momento foi perfeito para o Space Cybersecurity Symposium III, organizado pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) na semana passada. “Os ataques cibernéticos multifacetados e deliberados que ocorreram durante a invasão destacam a necessidade de o governo dos Estados Unidos trabalhar com nossos parceiros internacionais e com o setor privado para fortalecer a resiliência cibernética dos sistemas espaciais existentes e futuros”, disse no início da cúpula Richard DalBello, Diretor do Escritório dos EUA de Comércio Espacial, Administração Nacional Oceânica e Atmosférica.

“Embora a comunidade de inteligência e o governo estejam focados na questão, sua contribuição para a vida diária de uma pessoa comum permanece amplamente invisível de uma forma que outras questões de segurança nacional, como terrorismo, eventos climáticos extremos ou mesmo crime organizado transnacional não são”, disse Holly Shorrock, Analista de Inteligência do Departamento de Segurança Interna dos EUA.

Sistemas espaciais enfrentam ameaças cibernéticas

Shorrock explicou que qualquer sistema espacial consiste em três componentes: solo, espaço e segmentos de link. “Cada um desses três segmentos é vulnerável a ataques cibernéticos”, disse ela. “Pode surpreender alguns de vocês porque as suposições anteriores eram de que os [sistemas] espaciais são geralmente isolados de ameaças cibernéticas. Outra suposição era que os sistemas comerciais também eram um tanto isolados. No entanto, a paisagem do espaço mudou significativamente, e agora governos e militares dependem de sistemas comerciais, então nossa compreensão do quadro de ameaças cibernéticas também mudou significativamente”.

Embora todos os três componentes sejam vulneráveis a ataques cibernéticos, os segmentos terrestre e de link são os vetores de ataque mais atraentes e fáceis, como provaram ser no ataque da Viasat. Lançar um ataque cibernético a ativos no espaço é o ataque de último recurso, disse Shorrock.

Efeitos de transbordamento são uma questão crítica

Shorrock disse aos participantes do simpósio que, se eles prestarem atenção a qualquer coisa quando se trata de ataques cibernéticos por satélite, é que eles podem ter efeitos colaterais prejudiciais. “Independentemente de quais segmentos são atacados, um ataque a um sistema espacial localizado dentro de uma zona de conflito pode ter efeitos de transbordamento fora dessa zona, longe da área de conflito, impactando empresas e outros consumidores de serviços espaciais muito além das fronteiras do conflito”, disse ela.

Esses efeitos de transbordamento podem persistir por várias semanas ou até meses após o ataque, potencialmente causando danos à reputação do provedor de serviços e levantando questões sobre a confiabilidade dos serviços espaciais. Além disso, “a empresa visada quase certamente incorrerá nos encargos financeiros de restaurar o serviço, consertar o hardware e mitigar o ataque”.

A repercussão do ataque da Viasat supostamente se estendeu ao Marrocos, com alguns dos efeitos durando mais de um mês. Shorrock deu o exemplo de uma empresa de energia alemã que perdeu o monitoramento remoto e o controle de 5.800 turbinas eólicas. “Mais de um mês após o ataque cibernético, 193 parques eólicos permaneceram interrompidos”, disse ela. “De acordo com a empresa de energia, essa interrupção supostamente fez com que o monitoramento de dados do parque eólico ficasse off-line, tornando o conversor de energia eólica vulnerável a novos ataques de cibercriminosos ou outros agentes mal-intencionados”.

Rússia também lançou ataques separados de falsificação e interferência contra a Ucrânia

Moscou recorreu a outros tipos de ataques por satélite, incluindo falsificação e interferência de sinais, desde que invadiu a Ucrânia, disse Shorrock. “A falsificação de sistemas globais de navegação por satélite [NSS], dos quais o GPS é um tipo, é fácil e barato, tornando-se uma tática atraente para organizações criminosas e militares. A Rússia, em particular, tem sido publicamente associada a essa tática desde 2017 e a empregou no atual conflito com a Ucrânia, com efeitos de repercussão documentados que afetam a infraestrutura e as atividades comerciais fora da zona de conflito”.

Como aconteceu com o ataque da Viasat, a falsificação da NSS pela Rússia também criou efeitos colaterais prejudiciais. “De acordo com relatórios da indústria de segurança da aviação da União Europeia, sinais como GPS perto das fronteiras da zona de conflito e em outras áreas que se estendem até Israel foram bloqueados e falsificados durante o conflito Rússia-Ucrânia.

Os efeitos colaterais dessa interferência e falsificação afetaram o setor de aviação, fazendo com que alguns voos fossem suspensos por até uma semana, disse Shorrock. “Algumas aeronaves tiveram que reverter o curso no meio do voo e, em pelo menos um outro caso, esses efeitos de transbordamento fizeram com que o avião não pudesse realizar manobras de pouso com segurança”.

O bloqueio de sinal da Rússia também causou danos na Ucrânia. “Uma segunda empresa que fornece comunicações via satélite na Ucrânia teria sido vítima de interferência russa de seus sinais. Nesse caso, o chefe da empresa declarou publicamente que os outros projetos da empresa podem ser adiados devido à empresa ter que desviar seus recursos para combater os ataques eletrônicos”, disse Shorrock.

Experiência de aprendizado da Viasat

Phil Mar, Vice-Presidente e CTO de sistemas governamentais da Viasat, disse que quando o NIST o convidou no ano passado para falar na cúpula, “eu estava pensando que usaria um evento cibernético hipotético para preparar o cenário, como fiz muitas vezes quando falo em uma conferência como esta. Sempre me sinto desconfortável falando em nome do que aconteceu com outras pessoas. Mas, como disse a citação do musical Hamilton, eu estava na sala quando isso aconteceu. Então, na verdade, usarei um evento real desta vez”.
Mar disse que no início de 24 de fevereiro, a Skylogic começou a sofrer degradações e “observamos volumes realmente altos de tráfego malicioso atingindo as redes de vários modems de clientes e equipamentos associados nas instalações do cliente”. O pessoal da Viasat e da Skylogic trabalhou para empurrar o tráfego malicioso para fora da rede, mas depois começou a observar modems saindo da rede.

Em última análise, milhares de modems foram retirados da rede durante o ataque sem nenhum esforço observado para recuperá-los. Análises de rede posteriores identificaram invasões de rede baseadas em terra explorando várias configurações para obter acesso ao segmento de gerenciamento da rede da provedora de satélite.

O ataque se moveu unilateralmente pela rede confiável e para uma sessão de rede específica que a empresa usa para gerenciar e operar a rede. O ataque executou comandos direcionados em um grande número de modems residenciais para substituir dados críticos na memória flash para tornar os modems incapazes de acessar a rede.

As equipes forenses da Viasat conseguiram fazer engenharia reversa do ataque em aproximadamente 24 horas e iniciar a restauração das redes. “Neste caso em particular, aprendemos muito. Aprendemos qual técnica funcionaria e o que nos permitiu restaurar a rede tão rapidamente e, em retrospectiva, o que podemos fazer melhor”.