Atak nastąpił 16 października 2017 r. o świcie czasu polskiego równolegle na terminale dostępowe GPON w kilku różnych krajach. Wykorzystane zostały m.in. loginy i hasła zaszyte w firmware urządzeń abonenckich.
Niniejszy tekst jest efektem mojego zmęczenia i bezsilności po pół roku korespondencji i spotkań z przedstawicielami firmy Nokia oraz mijania kolejnych terminów na dostarczenie wolnego od wad produktu. Tekst jest równocześnie opisem problemu, z którym zmierzyć może się każdy operator na dowolnym sprzęcie, którego – moim zdaniem – nie mamy szans samodzielne wykryć i w 100 proc. zabezpieczyć. Wreszcie chciałbym, by niniejszy artykuł był głosem w dyskusji o odpowiedzialności producentów sprzętu i oprogramowania za swoje produkty.
16 października 2017 r. po 6:10 rano urządzenia OLT (ang. optical line termination) w naszej sieci zalogowały pierwsze z serii alarmów utraty komunikacji z ONT (ang. optical network termination). Wszystko działo się bardzo szybko i wyglądało jak efekt domina. „Kładło się” po kilkadziesiąt terminali na minutę. W zasadzie nie było czasu na reakcję, gdyż – jak wykazały późniejsze analizy różnego typu logów – ataki na wybrane sieci zostały przygotowane wcześniej, a do ich przeprowadzenia wykorzystano m.in. login i hasło zapisane w jednym z modułów oprogramowania ONT opracowanego przez podmiot trzeci, inny niż dostawca terminalna, którym w naszym przypadku jest Alcatel-Lucent, który w 2016 r. został przejęty przez Nokię.
Przygotowania napastników były zresztą szersze i dzięki nim, w chwili ataku, nie było potrzeby włamywania na urządzenia, czy bieżącego skanowania IP podatnych urządzeń. Ten proces został wykonany wcześniej. W krytycznym momencie wystarczyło uruchomić skrypty.
Nieautoryzowany dostęp do terminali ONT (i w efekcie np. zresetowanie ustawień sieciowych) byłoby zdarzeniem uciążliwym, ale możliwym do opanowania w oparciu o zasoby własne operatora. Napastnik doprowadził jednak do zniszczenia zawartości układów flash, uniemożliwiając uruchomienie urządzeń w jakimkolwiek trybie, który pozwoliłby choćby wgrać nowe oprogramowanie. Awaria dotknęła kilkunastu procent usług realizowanych w oparciu o podatny na wykonany atak model ONT. Rozdzwoniły się telefony – abonenci żądali niezwłocznego rozwiązania problemu. Konieczne stało się fizyczne wymienienie setek uszkodzonych końcówek klienckich na nowe, tymczasem nasze własne zapasy magazynowe nie zapewniały tak masowej wymiany.
W tej krytycznej sytuacji nie było możliwości pozyskania od producenta dodatkowych urządzeń na wymianę. Bez względu na to, czy uznalibyśmy ją za pilną interwencję serwisową z winy producenta, czy priorytetowe zlecenie zakupu. Sprzętu serii 240, ani żadnych zamienników w magazynach Nokii nie było. Dopiero po kilku tygodniach udało nam się zakupić jedynie 130 nowych urządzeń. Oczywiście pomogły, ale dotarły późno i w zbyt małej ilości.
Akcję przywracania usług oparliśmy więc o patchwork różnych rozwiązań. W pierwszym rzędzie w oparciu o własne zapasy wymieniliśmy urządzenia dla usług triple-play. W innych przypadkach dokupiliśmy i wdrożyliśmy (na szczęście przetestowane wcześniej) konkurencyjne dostępne od ręki terminale 1-portowe, dodając do nich gdzie była potrzeba dodatkowe RG (ang. residential gateway). Część abonentów zdecydowała się na zakup routerów we własnym zakresie.