KA-SAT: Ausfall hält an, Ursache offiziell weiter unklar

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 37784
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

KA-SAT: Ausfall hält an, Ursache offiziell weiter unklar

Beitrag von doelf »

Am 24. Februar 2022 kam es bei KA-SAT 9A, einem kommerziellen Kommunikationssatelliten des US-amerikanischen Unternehmens Viasat Inc., zu einem großflächigen Ausfall. Der Satellit, welcher sich in der geostationären Position 9° Ost befindet, versorgt Europa und den Nahen Osten mit 82 Spotbeams. Bis heute konnte die Störung nicht beseitigt werden und auch die Ursache bleibt weiterhin unklar. Da zeitgleich der russische Einmarsch in die Ukraine begann, wird ein Cyberangriff vermutet.

KA-SAT bietet eine schnelle Internetanbindung mit Download-Raten von bis zu 50 Mbps, jeder der 82 Spotbeams bringt es auf eine Kapazität von 475 Mbps. Zu den Kunden gehören Unternehmen mit abgelegenen Standorten, an denen kein kabelgebundenes Internet verfügbar ist. Ein praktisches Beispiel sind Windenergieanlagen, deren Anlagensteuerung und Überwachung über KA-SAT realisiert werden kann. Und so fiel der großflächige Ausfall auch zuerst bei Enercon, einem Hersteller von Windenergieanlagen, auf.

Enercon: Die Sicht des Windenergieanlagen-Herstellers
Enercon meldete am 1. März 2022, dass aufgrund der "massiven Störung der Satellitenverbindung in Europa" die Fernüberwachung und -steuerung (SCADA) von 5.800 Windenergieanlagen mit einer Gesamtleistung von 11 Gigawatt ausgefallen sei. Diese Anlagen laufen seither im "Automatikmodus und können sich grundsätzlich autark und selbstständig regulieren". Die Anlagen liefern somit weiterhin Strom und lassen sich vom Netzbetreiber uneingeschränkt steuern und drosseln. Im Falle einer Störung können die Anlagen aber nicht mehr aus der Ferne zurückgesetzt werden, somit muss ein Techniker-Team das Reset vor Ort durchführen. Enercon hatte das "Bundesamt für Sicherheit in der Informationstechnik" (BSI) umgehend informiert, da es sich bei Windenergieanlagen um kritische Infrastruktur handelt. Enercon schließt eine technische Störung in den eigenen Systemen aus und verweist auf den Satelliten-Betreiber. Für diese Einschätzung spricht, dass europaweit rund 30.000 Satellitenterminals ausgefallen sind. Zudem verweist das Unternehmen darauf, dass sich der Ausfall "nahezu zeitgleich mit Beginn der russischen Invasion in der Ukraine" ereignet hatte.

Bigblu: Die Sicht des Internetanbieters
Die Stellungnahme des Internetanbieters Bigblu stammt vom 7. März 2022 uns ist somit etwas aktueller. Gegenüber Bigblu hat Viasat, der Betreiber von KA-SAT, die Probleme in einer offiziellen Erklärung eingeräumt, sonst aber wenig Aufschlussreiches mitgeteilt. Der Ausfall werde "noch untersucht". Man habe "alle notwendigen Maßnahmen" ergriffen, doch noch sei die "Ursache des Ausfalls noch nicht vollständig geklärt". Bigblu vermutet, "dass es sich um einen vorsätzlichen Cyberangriff handelt", will einen Zusammenhang mit dem Einmarsch Russlands in die Ukraine aber zum jetzigen Zeitpunkt noch nicht bestätigen. Da Bigblu seinen Dienst momentan nicht anbieten kann, wurde "die Rechnungsstellung für alle betroffenen Kunden ausgesetzt". Einige der betroffenen Kunden berichten vom Ausfall ihres Modems. Defekte Modems will Bigblu derzeit aber noch nicht ersetzen, da die Gefahr bestünde, dass auch diese wieder Schaden nehmen. Dies deutet auf anhaltende Probleme bei Viasat hin. Sobald Viasat die Störung behoben hat, will Bigblu seinen Kunden "Ersatzgeräte mit klaren Anweisungen zur Einrichtung" zukommen lassen.

Was sagen Viasat und das BSI?
Bei Viasat finden sich bisher keine Informationen zu den Problemen von KA-SAT. Es gibt keine Pressemitteilung und in den sozialen Medien schweigt das Unternehmen seit dem 22. Februar 2022. Auch beim BSI gibt es keinerlei Meldungen zu den Problemen mit KA-SAT. Im Rahmen einer sehr allgemein gehaltenen Einschätzung zu den Cyber-Sicherheitsauswirkungen des russischen Angriffs auf die Ukraine rät das BSI zu Ruhe und Wachsamkeit. Man erkenne zwar "eine abstrakt erhöhte Bedrohungslage für Deutschland", doch bisher sei "keine akute unmittelbare Gefährdung der Informationssicherheit für Unternehmen in Deutschland im Zusammenhang mit der Situation in der Ukraine ersichtlich". Wir sollen unsere "digitalen Hausaufgaben" machen und "regelmäßig Back-Ups" anlegen. Benötigt man für solche Bauernweisheiten wirklich ein Bundesbehörde?

Ein mögliches Szenario
Frankreichs Weltraumkommandant (CDE), der General Michel Friedling, zeigte sich weniger zurückhaltend und bezeichnete den Vorfall schon am 3. März 2022 als Cyberangriff im Zusammenhang mit dem Einmarsch in die Ukraine. Weiterhin berichtet Friedling, dass der Angriff die SATCOM-Terminals unbrauchbar gemacht habe. Diese seien außer Funktion und vermutlich irreparabel beschädigt. Diese Aussage hat der spanische Sicherheitsforscher Ruben Santamarta aufgegriffen und eine These aufgestellt. Santamarta hatte sich eingehend mit solchen Terminals beschäftigt und in den Jahren 2014 und 2018 auf der BlackHat USA "eine Fülle von Schwachstellen und realistische Angriffsszenarien" präsentiert. In seinem Papier spielt der Spanier mehrere Szenarien durch und kommt zu dem Schluss, dass vermutlich eine Bodenstation kompromittiert oder erfolgreich imitiert wurde, um den SATCOM-Terminals schädliche Befehle zu schicken. Auf diese Weise könne man die Sendeeinheit deaktivieren, die Logik der Antennenausrichtung verstellen oder durch eine Manipulation der Leistungsparameter Schäden an der Elektronik verursachen. Santamarta hat auch eine Erklärung dafür, warum Deutschland besonders stark betroffen ist: Das Bodensegment von KA-SAT umfasst zehn Gateways, die über ganz Europa verteilt sind. Und das Gateway in Berlin liegt der Ukraine am nächsten.
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 37784
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: KA-SAT: Ausfall hält an, Ursache offiziell weiter unklar

Beitrag von doelf »

UPDATE: Die Modems sind nur noch Elektroschrott!
Wir haben eine Nachricht von unserem Satellitenbetreiber und Netzbetreiber Viasat erhalten, der nun die Ursache für das Cyber-Ereignis gefunden hat, das in den letzten zwei Wochen den Internetdienst für Zehntausende von Nutzern des KA-Sat-Dienstes in ganz Europa lahmgelegt hat. Viasat hat nun die Lösung für die Wiederherstellung des Anschlusses der betroffenen Kunden bestätigt.

Die Modems der betroffenen Kunden müssen ausgetauscht werden.

Wir wissen, dass die Modems aller betroffenen Kunden unbrauchbar wurden und wir daher die Hardware ersetzen müssen. Wir warten derzeit auf Informationen von Viasat über die Fristen für die Lieferung von Ersatzgeräten, die wir benötigen, um die Situation so schnell wie möglich zu lösen. Wir planen, mit dem Versand von Ersatzmodems zu beginnen, sobald wir sie von Viasat erhalten, zusammen mit einer klaren Anleitung. Dieser Ersatz wird kostenlos sein.

Wir sind uns der Frustration bewusst, die dieser verlängerte Ausfall verursacht, und arbeiten weiterhin mit Viasat zusammen, um die Liefertermine für die Lieferung von Ersatzmodems in den kommenden Tagen zu bestätigen.
Quelle: https://bigbluinternet.de/service-update/
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1420
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: KA-SAT: Ausfall hält an, Ursache offiziell weiter unklar

Beitrag von Mausolos »

doelf hat geschrieben: 15 Mär 2022, 13:28 UPDATE: Die Modems sind nur noch Elektroschrott!
Das Problem verstehe ich nicht. Die Modems müssten doch per Firmwareupdate wieder gangbar zu machen sein, oder?
Und warum eigentlich funktionieren die Modems alle jetzt nicht mehr?
männlich weiblich divers ⚨ ⚲ ☿ ⚧ ⚥ ⚦
ein Arzt kann sein «m/w/d» — eine Ärztin ist alleinig «w»
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 37784
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: KA-SAT: Ausfall hält an, Ursache offiziell weiter unklar

Beitrag von doelf »

Viasat hat bisher noch keinen offiziellen Bericht vorgelegt. Aufgrund seit 2014 bzw. 2018 bekannter Schwachstellen wird allerdings angenommen, dass eine der Bodenstationen manipulierte Firmware-Updates an die Modems geschickt hat. Solche Updates können die Funktion der Modems lahmlegen, durch falsche Einstellungen die Elektronik überlasten und die Geräte somit zerstören oder auch den Update-Mechanismus lahmlegen.

Dass bestimmte Fehler die Firmware eines Gerätes zerstören können, ist ja nichts Neues:
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 37784
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Cyber-Sabotage: KA-SAT-Ausfall durch Wiper AcidRain

Beitrag von doelf »

Am 24. Februar 2022 kam es bei KA-SAT 9A, einem kommerziellen Kommunikationssatelliten des US-amerikanischen Unternehmens Viasat Inc., zu einem großflächigen Ausfall. Der Satellit, welcher sich in der geostationären Position 9° Ost befindet, versorgt Europa und den Nahen Osten mit 82 Spotbeams für Datenübertragungen. Inzwischen steht fest, dass eine Schadsoftware, ein auf den Namen "AcidRain" getaufter Wiper, die Modems unbrauchbar gemacht hatte. Da zeitgleich der russische Einmarsch in die Ukraine begann, wurde von Anfang an ein Cyberangriff vermutet. Dies darf man, auch wenn die russische Seite einmal mehr alle Anschuldigungen bestreiten wird, inzwischen als gesichert betrachten.

30.000 Satellitenterminals ohne Funktion
KA-SAT bietet eine schnelle Internetanbindung mit Download-Raten von bis zu 50 Mbps, jeder der 82 Spotbeams bringt es auf eine Kapazität von 475 Mbps. Zu den Kunden gehören Unternehmen mit abgelegenen Standorten, an denen kein kabelgebundenes Internet verfügbar ist. Ein praktisches Beispiel sind Windenergieanlagen, deren Anlagensteuerung und Überwachung über KA-SAT realisiert werden kann. Und so fiel der großflächige Ausfall auch zuerst bei Enercon, einem Hersteller von Windenergieanlagen, auf. Dort war die Fernüberwachung und -steuerung (SCADA) von 5.800 Windenergieanlagen mit einer Gesamtleistung von 11 Gigawatt ausgefallen. Die betroffenen Anlagen liefen nach dem Angriff im Automatikmodus und lieferten weiterhin Strom, doch sie konnten nicht mehr aus der Ferne zurückgesetzt werden. Die Kunden des Internetanbieters Bigblu waren ebenfalls von der breit angelegten Cyber-Sabotage betroffen, die europaweit rund 30.000 Satellitenterminals außer Betrieb gesetzt hatte.

Einen Monat nach dem Ausfall meldet sich Viasat zu Wort
Am 30. März 2022, mehr als einen Monat nach dem Ausfall, veröffentlichte der KA-SAT-Betreiber Viasat eine Stellungnahme und sprach dabei von einem "facettenreichen und vorsätzlichen Cyber-Angriff auf KA-SAT". Der Angriff sei auf "einen einzigen verbraucherorientierten Bereich des KA-SAT-Netzwerks" beschränkt gewesen und hätte primär die Ukraine zum Ziel gehabt. Dass Tausende von Breitbandmodems der Marke "Tooway" in ganz Europa ausgefallen waren, darf wohl als Kollateralschaden betrachtet werden. Das Ziel des Angriffs wird von Skylogic, einer Tochtergesellschaft von Eutelsat, im Auftrag von Viasat betrieben. Die direkt von Viasat verwalteten Nutzer, darunter staatliche Stellen und Kunden aus dem Bereich Mobilität, waren demnach nicht betroffen. Zudem hatte sich der Angriff nicht auf andere Viasat-Netzwerke erstreckt. Der Vorfall wird weiterhin von Viasat, Eutelsat, hinzugezogenen IT-Forensikern von Mandiant sowie staatlichen Stellen mehrerer Länder untersucht. Bisher konnten keine Hinweise auf einen Datendiebstahl gefunden werden. Das alleinige Ziel war nach jetzigem Stand die Sabotage der Satellitenkommunikation.

Wie Viasat erklärt, wurde der Angriff am 24. Februar 2022 um 3:02 Uhr UTC bemerkt. Zu diesem Zeitpunkt begannen Modems des Typs SurfBeam2 bzw. SurfBeam2+ mit Standort in der Ukraine bösartige Datenpakete zu verbreiten. Zu diesem Zeitpunkt sah alles nach einem DoS-Angriff aus, bei dem ein massives Datenaufkommen die Nutzbarkeit der Dienste einschränken sollte. Das Notfallteam des Betreibers versuchte daraufhin, die auffälligen Modems auszusperren, doch sie wurden sogleich von anderen ersetzt. Gegen 4:15 Uhr UTC trennten dann immer mehr Modems ihre Verbindung und verschwanden aus dem Netz. Dies dauerte ca. 45 Minuten und ließ die betroffenen Modems funktionslos zurück. Die forensische Analyse konnte ein falsch konfiguriertes VPN-Gerät als Einfallstor ausmachen. Über dieses erlangten die Angreifer Fernzugriff auf das geschützte Verwaltungssegment des KA-SAT-Netzwerks und fluteten dieses mit eigentlich legitimen Verwaltungsbefehlen. Mit diesen Befehlen wurden Schlüsseldaten im Flash-Speicher der Modems überschrieben, was diese defekt zurückließ. Dieser Zustand ist reparabel, allerdings nicht unbedingt vom Kunden. Die Elektronik und Firmware der bisher untersuchten Modems war laut Viasat intakt.

Ergänzungen von Sicherheitsexperten
Weitere Details liefern Juan Andres Guerrero-Saade und Max van Amerongen von SentinelLabs. Die beiden Sicherheitsexperten konnten seit Anfang 2022 sechs verschiedene Sorten von Wiper-Schadprogrammen (WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper und DoubleZero) beobachten, die allesamt auf die Ukraine zielten. Ein Wiper ist ausschließlich auf Zerstörung aus und löscht Daten. Er unterscheidet sich damit eindeutig von einer Ransomeware, welche Daten zum Zwecke der Erpressung verschlüsselt. Sofern es dem Wiper gelingt, die Firmware eines Gerätes zu löschen oder mit sinnlosen Daten zu überschreiben, kann dieses dabei irreparabel zerstört werden. Wiper sind somit Sabotage-Werkzeuge bzw. Waffen für den Cyberkrieg. Und diesen hatte Russland offenbar schon Wochen vor seinem Einmarsch in die Ukraine gestartet.

Wiper Nummer sieben ist nach der Zählweise von SentinelLabs "AcidRain" und dieser hat KA-SAT lahmgelegt. Guerrero-Saade und van Amerongen beziehen sich dabei auf eine verdächtige, ausführbare MIPS-ELF-Binärdatei namens "ukrop", welche am 15. März 2022 von einem italienischen Rechner aus auf VirusTotal hochgeladen wurde. Da Skylogic seinen Sitz in Italien hat, dürfte der Upload von dort stammen. Die Analyse von "ukrop" aka "AcidRain" brachte ein alles andere als elegantes Bruteforce-Konzept zum Vorschein, welches eine Tiefenlöschung des Dateisystems und verschiedener bekannter Speichergerätedateien vornimmt. Sofern der Code mit Root-Rechten ausgeführt wird, führt AcidRain zu Beginn ein rekursives Überschreiben und Löschen von nicht standardmäßigen Dateien im Dateisystem durch. Nach dem Überschreiben wird ein Neustart ausgelöst, der das Modem ohne Funktion zurücklässt.

Ein Code-Vergleich von AcidRain mit einer Wiper-Erweiterung für die modulare Schadsoftware VPNFilter ergab 55 Prozent Übereinstimmung. Gemessen an VPNFilter erscheint der Code von AcidRain wesentlich ineffizienter und grobschlächtiger. Dafür lässt er sich universeller einsetzen und kann auf sehr unterschiedlichen Geräten großen Schaden anrichten. VPNFilter wird dem russischen Militärgeheimdienst GRU zugeschrieben. Ein eindeutiger Beweis für die Herkunft von AcidRain ist das zwar noch nicht, aber die Puzzleteile fügen sich nahtlos zusammen. Bleibt noch anzumerken, dass Viasat die Rückschlüsse von Guerrero-Saade und van Amerongen zwischenzeitlich als zutreffend bezeichnet hat.
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1420
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: KA-SAT: Ausfall hält an, Ursache offiziell weiter unklar

Beitrag von Mausolos »

Vielen Dank für den aktuellen Bericht!
männlich weiblich divers ⚨ ⚲ ☿ ⚧ ⚥ ⚦
ein Arzt kann sein «m/w/d» — eine Ärztin ist alleinig «w»
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 37784
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: KA-SAT: Ausfall hält an, Ursache offiziell weiter unklar

Beitrag von doelf »

Mausolos hat geschrieben: 06 Apr 2022, 23:08 Vielen Dank für den aktuellen Bericht!
Gerne. Zumindest wurde bei diesem Angriff kein Elektroschrott produziert. Wenn der Wiper die Firmware erwischt, sieht das anders aus. Spannend finde ich zudem, dass der Cyber-Angriff auf die Ukraine schon lange vor dem 24. Februar 2022 lief. Und ich bin immer mehr davon überzeugt, dass dieser Krieg schon sehr lange geplant war. Eventuell sogar schon für Anfang 2020, denn mit Trump als US-Präsident hätte Putin keine vereinte NATO gegen sich gehabt. Aber dann kam Corona mit all seinen Unwägbarkeiten und der Kremel hatte vermutlich mit einer Wiederwahl Trumps gerechnet.

Gruß Michael
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Benutzeravatar
The Grinch
Administrator
Administrator
Beiträge: 9020
Registriert: 17 Feb 2004, 07:12

Re: KA-SAT: Ausfall hält an, Ursache offiziell weiter unklar

Beitrag von The Grinch »

Der Knaller wäre ein "Nichtangriffspakt" zwischen Russland und den USA gewesen!

Und im stillen Kämmerlein hätten dann Putin und Trump Europa unter sich aufgeteilt,
ein Schelm wer da Erinnerungen aufkommen lässt.
Aber Geschichte ist ja bei der aktuellen Generation verpönt.
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 37784
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: KA-SAT: Ausfall hält an, Ursache offiziell weiter unklar

Beitrag von doelf »

Der Vergleich ist durchaus passend. Nur wer von den beiden ist Hitler und wer Stalin?

Aber zieh nicht immer über die junge Generation her, viele von denen sind viel engagierter als noch für 10/15 Jahren.

Ich bin nur froh, dass nicht Armin, der alte Grinsekater, Putin die Stirn bieten muss. Und hoffentlich wurden viele in der SPD endgültig von ihren romantisierten Russland-Fantasien geheilt.

Wenn Putin dann irgendwann mal tot in seinem Bunker liegt, werden die meisten Russen behaupten, sie hätten doch von nichts gewusst. Und das ist dann noch weniger glaubwürdig als bei den Deutschen, die das dritte Reich erlebt hatten. Nichts tun ist halt nicht wissen. Dass man Angst hat und sich nicht in Gefahr bringen will, kann ich durchaus verstehen. Andererseits wird demjenigen, der nicht für seine Freiheit eintritt und zu Not für diese kämpft, dieselbe von Machtmenschen wie Putin weggenommen. Putin und Trump glauben an das Recht des Stärkeren und dass die Mächtigen über dem Gesetz stehen. Und diese Fehlinterpretation lässt sich leider nicht mit gut Zureden korrigieren. Ebenso wie sich ein tollwütiger Hund nicht durch Streicheln heilen lässt.

Gruß Michael
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Antworten