Tysiące terminali internetu satelitarnego poważnie uszkodzonych w dniu ataku na Ukrainę

dodał 3 marca 2022 o 13:45 w kategorii Info, Włamania  z tagami:
Tysiące terminali internetu satelitarnego poważnie uszkodzonych w dniu ataku na Ukrainę

24 lutego kilkadziesiąt tysięcy modemów internetu satelitarnego w wielu krajach Europy przestało działać. Do sieci dostępu nie mają zarówno niemieckie turbiny wiatrowe, jak i klienci z Polski czy Ukrainy. Nie zanosi się na szybkie przywrócenie usług.

W dniu napaści Rosji na Ukrainę, w godzinach porannych, awarii uległy terminale umożliwiające zdalne zarządzanie 5800 turbinami wiatrowymi w Niemczech (turbiny działają, ale nie działa raportowanie i monitoring). Kolejne dni odsłaniały coraz większy wymiar awarii – obecnie wiadomo o co najmniej kilkudziesięciu tysiącach klientów, w tym także w Polsce i na Ukrainie, pozbawionych dostępu do internetu. Dzięki jednemu z naszych czytelników, Arturowi, możemy opisać przebieg wydarzeń i ich prawdopodobną przyczynę.

Był internet i nie ma

Internet satelitarny nie jest wynalazkiem Elona Muska – długo przed jego Starlinkiem takie usługi były już używane na całym świecie. Jedną z firm je oferujących jest Viasat. W Polsce jej usługi dostępu do internetu, oparte o satelitę Ka-Sat, sprzedaje m. in. bigblu, w Europie znane są też pod nazwą Tooway. Doceniane są przez klientów z obszarów, gdzie trudno o internet kablowy, a wersja LTE nie spełnia oczekiwań użytkowników. Zasięg też ma całkiem niezły.

Niestety klienci usługi Tooway są pozbawieni dostępu do sieci od wczesnego ranka 24 lutego. Oddajmy głos Arturowi.

W czwartek pierwsza partia modemów satelitarnych usługi Tooway została zaatakowana i wykasowany firmware tych modemów. Były to modemy jednoportowe. Dnia następnego w piątek zaatakowano modemy bardziej rozbudowane (z WiFi) i też je wyłączono.  Niestety operator mega „dał ciała”, ponieważ po pierwszym ataku nie zablokował dalszego niszczenia sieci abonenckiej i dopuścił do prawie całkowitego jej uszkodzenia. Obecnie działają jedynie te modemy, które w chwili ataku były odłączone od sieci satelitarnej, przy czym nie działają urządzenia backupowe, które trzeba ponownie aktywować lub nie były uruchamiane od połowy 2021 roku. Operator obecnie nie przeprowadza nowych aktywacji. 

Stan na tę chwilę jest taki, że modemy dla użytkowników są martwe. Nie świecą diody. Nie startuje firmware urządzenia IDU  – modemu wewnętrznego (sprawdziłem analizatorem widma radiowego na porcie kabla koncentrycznego – nie ma sygnału na porcie do ODU (do urządzenia / nadajnika zewnętrznego przy antenie )). Port ETH routera IDU elektrycznie działa, ale nie odpowiada na pakiety. ODU przy antenie nie odpowiada – ma własny system operacyjny, ale nie ma zasilania ani sygnału pośredniej częstotliwości.  Nie można zdalnie (od operatora) wgrać nowego oprogramowania ani do modemu – IDU ani do nadajnika satelitarnego – ODU. IMHO to był atak przeprowadzony z centrali operatora, który rozesłał wadliwą zdalną (OTA) aktualizację do urządzeń abonentów i uszkodził (wykasował) flash z oprogramowaniem w routerach abonenckich. Od czwartku do dziś nie działa łącze satelitarne, operator nie podaje czasu naprawy. Pewnie będzie liczony w tygodniach. Jestem zdania, że zdalnie nie są w stanie tego naprawić. Nie wiem, czy można to naprawić przez port USB routera (analizator USB wpięty do portu nie wykazuje aktywności routera) operatora. 

Relacja Artura wskazuje na bardzo poważny problem. Zdalne uszkodzenie modemów i zerwanie transmisji powoduje, że ich zdalna naprawa może okazać się całkowicie niemożliwa. Jego ustalenia potwierdzają relacje mediów i statusy publikowane przez dostawców usług. Viasat wspomina o „nietypowym zachowaniu sieci”.

Z kolei bigblu mówi wprost o przerwie w dostawie usług i braku informacji o terminie przywrócenia sprawności łącza.

Co ważne, od kilku dni komunikaty na obu stronach nie uległy zmianie – to nie jest dobrym znakiem. Klienci firmy nie są zadowoleni.

Nieliczni zapobiegliwi szczęśliwcy

Arturowi udało się ponownie podłączyć do sieci. Jak? Był zapobiegliwy i zawczasu kupił sobie zapasowy modem z drugiej ręki.

Progres z too-wayem na dziś jest taki, że udało mi się uruchomić zapasowy modem (swoje lata już mam, historia pracy i ogólnie życie nauczyło mnie być chomikiem). Gdy widzę coś, co jest mi potrzebne, jest nietypowe, rzadkie, a spotkam to na portalach aukcyjnych, to kupuję na podmiankę. I tak rok temu kupiłem trochę inny model (bardziej rozbudowany z WiFi i większą ilością portów ETH  – SB2-Plus). Domowe rezerwy materiałowe na wypadek godziny W ;)

Dziś udało się go aktywować i podłączył się do sieci skylogica (operator bloku ip, który jest w usłudze too-way). Przy okazji modem pobrał nową wersję oprogramowania (OTA). Byłem trochę siny, jak czekałem na wynik update’u.

Sytuacja na tę chwilę jest taka:

1. Satelita jest nadal na orbicie (KA-SAT). Nie uprowadził go żaden satelita FR w w rodzaju Kosmos-2504.

2. Stacje brzegowe (teleporty) działają, przynajmniej ten na nasz region, chyba w Berlinie. 

3. Infrastruktura operatora jest na tyle sprawna, że działa reaktywacja modemu obecnego usera (modem każdorazowo trzeba aktywować przed pierwszym użyciem).

4. Prędkość linku jest bardzo wysoka – oznacza to, że nie ma chyba zbyt dużego ruchu. Max prędkość linku z tym modelem ODU (u nich zwanym etira). Gdy jest mocniejszy 4-watowy, to jest wtedy trochę szybciej – obecnie u mnie jest około 49.15 Mbps Download, 6.12 Mbps Upload i około 590 ms rtt. Przeważnie jest w okolicy 40 D / 5 -10 UP. Prędkość UPload zależy mocno od stanu atmosfery – ilości pary wodnej w powietrzu – bo sygnał jest nadawany w paśmie KA.

5. Rozmawiałem z dostawcą i potwierdził, że u niego też tak udało się reaktywować NOWY modem, ale bardzo bardzo mało osób ma zapasowe modemy.

Czy ta awaria wydarzyła się sama i kto może za nią stać

Nie mamy pewności co do charakteru przyczyn tej awarii, jednak pewne okoliczności wskazują, że może ona mieć związek z napaścią Rosji na Ukrainę. Oto powody:

  1. Awaria zaczęła się ok. 5 rano 24 lutego, zatem dosłownie w momencie ataku Rosji na Ukrainę.
  2. Wg informacji serwisu Golem.de awaria miała początek na Ukrainie, a potem rozlała się na pozostałych klientów.
  3. Usługi Viasat były popularne w Ukrainie, np. w wyborach 2012 ponad 12 tysięcy terminali Viasat służyło do monitoringu wideo lokali wyborczych.
  4. Viasat określił przyczyny awarii jako „zdarzenie cyber” i wynajął zewnętrzną firmę z obszaru cyber do ustalenia jej przyczyn.

Wygląda zatem na to, że albo mamy do czynienia z niewiarygodnym zbiegiem okoliczności, albo brak internetu u klientów usługi Tooway jest efektem celowego działania związanego z atakiem Rosji na Ukrainę.

Aktualizacja 6 marca, 18:00

Wg Der Spiegel użytkownikiem usług Viasat była ukraińska armia, co może tłumaczyć powód ataku. Z kolei Netblocks pokazuje, że po 11 dniach od ataku nadal nie widać poprawy dostępności usługi.