# Viasat KA-SAT Attack 2022 > [!critical] > Em 24 de fevereiro de 2022 — exatamente no início da invasão russa à Ucrânia — o grupo **Sandworm** (GRU) lançou o malware wiper **AcidRain** contra o satelite de comúnicações **KA-SAT da Viasat**, desativando 40.000-45.000 modems em toda a Europa. O ataque foi projetado para cegar as comúnicações militares ucranianas no momento crítico de início do conflito. ## Visão Geral O ataque ao KA-SAT é um dos exemplos mais precisamente cronometrados de ciberoperação de suporte a operações militares já documentados: o [[g0034-sandworm]] (GRU, Unidade 74455) sincronizou o ataque cibernético com o início físico da invasão russa à Ucrânia às 04h00 UTC de 24 de fevereiro de 2022. O objetivo era degradar as comúnicações militares e governamentais ucranianas que dependiam do serviço de banda larga via satelite KA-SAT, operado pela Viasat. O vetor de ataque explorou uma VPN com configuração incorreta na rede de gerenciamento do KA-SAT. Com acesso à rede de gerenciamento, os atacantes implantaram o [[s1125-acidrain]] — um wiper para modems baseados em Linux (Surfbeam2 da ViaSat e modelos de outros fabricantes) que destruía o firmware do dispositivo. O wiper sobrescrevia de forma recursiva todos os arquivos do sistema de arquivos do modem, efetivamente tornando os dispositivos inoperáveis. Modems afetados exibiam luz de status piscando e não conseguiam se reconectar à rede. O impacto foi imediato e transfronteiras: enquanto o objetivo primário eram as comúnicações militares ucranianas, o KA-SAT atendia também usuários civis em 13 países europeus. Aproximadamente **5.800 turbinas eólicas na Alemanha** (operadas pela Enercon e outras empresas) perderam conectividade de monitoramento remoto. Usuários em França, Itália, Hungria, Grécia e Polônia foram afetados. O [[s1125-acidrain]] foi analisado pela SentinelOne, que o atribuiu com alta confiança ao [[g0034-sandworm]] com base em sobreposição de código com o VPNFilter, malware anteriormente atribuído ao mesmo grupo. Em maio de 2022, EUA, UE, Reino Unido, Canadá, Austrália e Nova Zelândia atribuiram formalmente o ataque à Rússia. ## Attack Flow ```mermaid graph TB A["🔓 Exploração VPN<br/>Configuração incorreta na rede<br/>de gerenciamento KA-SAT"] --> B["🌐 Acesso à Rede de Mgmt<br/>Movimento lateral para<br/>infraestrutura de provisionamento"] B --> C["📡 Identificação de Modems<br/>Enumeração de modems<br/>Surfbeam2 ativos na Ucrânia"] C --> D["💀 Deploy do AcidRain<br/>Wiper implantado via<br/>sistema de atualização de firmware"] D --> E["🗑️ Sobrescrita Recursiva<br/>Todos os arquivos do filesystem<br/>do modem destruídos"] E --> F["📵 40-45K Modems Inoperáveis<br/>Ucrânia + 13 países europeus<br/>sem conectividade KA-SAT"] ``` ## Cronologia ```mermaid timeline title Viasat KA-SAT Attack - Linha do Tempo 24 Fev 2022 : 04h00 UTC - Invasão russa inicia : Simultâneo: ataque AcidRain ao KA-SAT : 40-45K modems desativados em horas 24 Fev 2022 : 5.800 turbinas eólicas na Alemanha offline : 13 países europeus afetados Mar 2022 : Viasat confirma o incidente publicamente : SentinelOne publica análise do AcidRain Mai 2022 : EUA/UE/UK atribuem formalmente à Rússia/GRU : Sandworm identificado como responsável 2023 : Viasat implanta novos modems nas áreas afetadas : Lições aprendidas integradas ao CISA/NATO ``` ## TTPs Principais | Tática | Técnica | Detalhe | |--------|---------|---------| | Acesso Inicial | [[T1190-exploit-public-facing-application\|T1190]] | Exploração de VPN com configuração incorreta na rede de gerenciamento | | Acesso por Credenciais | [[T1078-valid-accounts\|T1078]] | Credenciais válidas usadas para acessar sistema de provisionamento | | Execução | [[T1059.004-command-and-scripting-interpreter-unix-shell\|T1059.004]] | AcidRain executado via shell em modems Linux | | Impacto | [[T1485-data-destruction\|T1485]] | AcidRain sobrescreve recursivamente filesystem dos modems | | Efeito colateral | Disrupção de infraestrutura crítica | Turbinas eólicas e serviços civis europeus afetados | | Sincronização | Cyber + Kinetic | Timing preciso com início de operações militares terrestres | ## Vítimas e Impacto - **40.000-45.000 modems KA-SAT inoperáveis** permanentemente na Ucrânia e Europa - **Ucrânia**: degradação de comúnicações militares e governamentais no dia D da invasão - **Alemanha**: 5.800 turbinas eólicas (Enercon e outras) sem monitoramento remoto - **13 países europeus**: França, Itália, Hungria, Grécia, Polônia, Áustria, Eslováquia afetados - **Recuperação**: meses para substituição de modems físicos - não havia solução via software - **Custo**: estimado em dezenas de milhões de euros para Viasat e parceiros europeus ## Relevância LATAM O ataque ao KA-SAT demonstra a vulnerabilidade de infraestrutura de satelite e telecomúnicações a ciberoperações de Estado. O LATAM depende crescentemente de sistemas de comunicação via satelite para conectividade rural, militar e infraestrutura crítica — especialmente países como Brasil, Argentina e Chile com extensos territórios. O [[g0034-sandworm]] não opera ativamente na região, mas as técnicas de wiper contra infraestrutura de [[telecommunications|telecomúnicações]] são relevantes para operadores brasileiros (Claro, Vivo, TIM, Hughes) e para instalações de energia renováveis com dependência de conectividade remota. A lição central é que infraestrutura de gerenciamento remoto deve ter segmentação e controles rigorosos. ## Mitigação - Segmentar redes de gerenciamento de infraestrutura crítica (OT/satelites) de redes corporativas - Aplicar princípio de menor privilégio e MFA em VPNs de acesso a sistemas de gerenciamento - Monitorar atualizações de firmware em dispositivos de campo para detectar implantações não autorizadas - Implementar mecanismos de verificação de integridade de firmware (secure boot, code signing) - Desenvolver planos de contingência para indisponibilidade de comúnicações via satelite - Coordenar com operadores de infraestrutura nacional sobre capacidades de resposta a wipers ## Referências - [1](https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/) SentinelOne - AcidRain: A Modem Wiper Rains Down on Europe (2022) - [2](https://www.wired.com/story/viasat-hack-ukraine-russia-cyberattack/) Wired - The Viasat Hack Was a First-of-Its-Kind Satellite Cyberattack (2022) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-110a) CISA Advisory AA22-110A - Russian State-Sponsored Cyber Operations (2022) - [4](https://www.mandiant.com/resources/blog/sandworm-ukraine-acidrain) Mandiant - Sandworm and AcidRain Wiper (2022) - [5](https://attack.mitre.org/groups/G0034/) MITRE ATT&CK - Sandworm Team (G0034)