De cyberaanval gericht op Viasat waarbij KA-SAT-modems tijdelijk offline werden geslagen op 24 februari 2022, dezelfde dag dat Russische strijdkrachten Oekraïne binnenvielen, zou het gevolg zijn geweest van wiper-malware. laatste onderzoek van SentinelOne.
De bevindingen komen een dag nadat het Amerikaanse telecombedrijf onthulde dat het het doelwit was van een veelzijdige en opzettelijke” cyberaanval op zijn KA-SAT-netwerk, waarbij het werd gekoppeld aan een “grondgebaseerde netwerkinbraak door een aanvaller die misbruik maakte van een verkeerde configuratie in een VPN-apparaat om op afstand toegang te krijgen tot het vertrouwde beheersegment van het KA-SAT-netwerk.”
Bij het verkrijgen van toegang gaf de tegenstander “destructieve commando’s” op tienduizenden modems die behoren tot de satellietbreedbanddienst die “sleutelgegevens in het flashgeheugen op de modems overschreven, waardoor de modems geen toegang tot het netwerk konden krijgen, maar niet permanent onbruikbaar.”
Maar SentinelOne zei dat het op 15 maart een nieuw stuk malware (genaamd “ukrop”) aan het licht had gebracht dat het hele incident in een nieuw licht werpt – een compromis in de toeleveringsketen van het KA-SAT-beheermechanisme om de wisser te leveren, genaamd Zure regennaar de modems en routers en schaalbare verstoring te bereiken.
AcidRain is gevormd als een 32-bits MIPS ELF-uitvoerbaar bestand dat “een diepgaande wissing van het bestandssysteem en verschillende bekende opslagapparaatbestanden uitvoert”, aldus onderzoekers Juan Andres Guerrero-Saade en Max van Amerongen. “Als de code als root draait, voert AcidRain een initiële recursieve overschrijving en verwijdering uit van niet-standaard bestanden in het bestandssysteem.”
Zodra het wissen is voltooid, wordt het apparaat opnieuw opgestart om het onbruikbaar te maken. Dit maakt AcidRain de zevende wiper-stam die sinds het begin van het jaar is ontdekt in verband met de Russisch-Oekraïense oorlog na WhisperGate, WhisperKillHermeticWiper, IsaacWiper, CaddyWiper en DoubleZero.
Verdere analyse van het wiper-voorbeeld heeft ook een “interessante” code-overlap aan het licht gebracht met een plug-in van de derde fase (“dstr”) die wordt gebruikt bij aanvallen waarbij een malwarefamilie is betrokken, genaamd VPNFilter, die is toegeschreven aan de Russische Sandworm (ook bekend als Voodoo Bear) -groep.
Eind februari 2022 onthulden het Britse National Cyber Security Centre (NCSC), het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), de National Security Agency (NSA) en het Federal Bureau of Investigation (FBI) een opvolger voor VPNFilter, met de naam VPNFilter. het vervangende raamwerk Cyclops Blink.
Dat gezegd hebbende, is het nog steeds onduidelijk hoe de dreigingsactoren toegang hebben gekregen tot de VPN. In een verklaring die werd gedeeld met The Hacker News, bevestigde Viasat dat malware die gegevens vernietigt inderdaad werd ingezet op modems met behulp van “legitieme beheer”-opdrachten, maar dat hij geen verdere details deelde onder verwijzing naar een lopend onderzoek.
De volledige verklaring van het bedrijf is als volgt:
De feiten die gisteren in het Viasat-incidentrapport werden vermeld, zijn juist. De analyse in het SentinelLabs-rapport met betrekking tot het binaire bestand ‘ukrop’ is consistent met de feiten in ons rapport – in het bijzonder identificeert SentinelLabs het destructieve uitvoerbare bestand dat op de modems werd uitgevoerd met behulp van een legitiem beheercommando zoals Viasat eerder heeft beschreven.
Zoals opgemerkt in ons rapport: “de aanvaller bewoog zich zijdelings via dit vertrouwde beheernetwerk naar een specifiek netwerksegment dat werd gebruikt om het netwerk te beheren en te bedienen, en gebruikte vervolgens deze netwerktoegang om legitieme, gerichte beheeropdrachten uit te voeren op een groot aantal residentiële modems tegelijkertijd .”
Bovendien beschouwen we dit niet als een aanval of kwetsbaarheid in de toeleveringsketen. Zoals we opmerkten: “Viasat heeft geen bewijs dat standaardmodemsoftware of firmwaredistributie of updateprocessen die betrokken zijn bij normale netwerkactiviteiten, zijn gebruikt of gecompromitteerd bij de aanval.” Verder “is er geen bewijs dat eindgebruikersgegevens zijn geopend of gecompromitteerd.”
Vanwege het lopende onderzoek en om de beveiliging van onze systemen tegen voortdurende aanvallen te waarborgen, kunnen we niet alle forensische details van het evenement openbaar delen. Door dit proces waren en blijven we samenwerken met verschillende wetshandhavings- en overheidsinstanties over de hele wereld, die toegang hebben gehad tot details van het evenement.
We verwachten dat we aanvullende forensische details kunnen verstrekken wanneer dit onderzoek is voltooid.
