Et af de seneste store cyberangreb, der deaktiverede titusindvis af Viasat-satellitter bredbåndsmodeller for et par uger siden, er højst sandsynligt forbundet med VPNFilter malware, tilskrives Rusland. Konklusionen kommer fra SentinelOne.
SentinelOne's take på angrebet mod Viasat
Hvad skete der? I februar 24, da russiske tropper invaderede Ukraine, Viasat-terminaler i Europa og Ukraine blev uventet slået offline, får vindmøller i Tyskland til at miste satellit internetforbindelse og forstyrre overvågning og kontrol.
relaterede Story: Protestware-projekter på GitHub Push Pro-Ukraine-annoncer og dataviskere
Viasat udgav for nylig en erklæring, der giver en beskrivelse af angrebet, selvom det er utilstrækkeligt. Virksomheden forklarede, at den ubudne gæst udforskede sit interne netværk, indtil de kunne instruere deres abonnenter om at overskrive flash-lageret på modemer, som krævede fabriksnulstilling af udstyret.
Mere specifikt, angribernes destruktive kommandoer overskrev nøgledata i flashhukommelsen på modemmerne, gør modemerne ude af stand til at få adgang til netværket, men ikke permanent ubrugelig. Men, virksomheden har ikke specificeret, hvordan modemerne blev overskrevet i første omgang. SentinelOne-forskere giver en forklaring, som er så tæt på sandheden som muligt. Cybersikkerhedsfirmaet mener, at indtrængen var mulig takket være en visker malware (som SentinelOne kaldte AcidRain) implementeret til de nævnte enheder via en ondsindet firmwareopdatering fra Viasats kompromitterede backend. Konklusionen stammer fra en mistænkelig MIPS ELF-binær, kaldet ukrop og uploadet til VirusTotal i marts 15.
Her er hvad SentinelOne siger:
På tirsdag, 15. marts, 2022, en mistænkelig upload fangede vores opmærksomhed. En MIPS ELF binær blev uploadet til VirusTotal fra Italien med navnet 'ukrop'. Vi vidste ikke, hvordan vi skulle analysere navnet nøjagtigt. Mulige fortolkninger inkluderer en stenografi for "ukr"aine "drift"., akronymet for den ukrainske sammenslutning af patrioter, eller en russisk etnisk bagtale for ukrainere – 'Укроп'. Kun hændelsespersonalet i Viasat-sagen kunne sige endegyldigt, om dette faktisk var den malware, der blev brugt i denne særlige hændelse.
Hvad skete der derefter i angrebet? Trusselsaktøren implementerede KA-SAT-styringsmekanismen i et forsyningskædeangreb, og skubbede en visker, der er specielt designet til at målrette mod modemer og routere. "En visker til denne type enhed ville overskrive nøgledata i modemmets flashhukommelse, gør den ubrugelig og trænger til at blive udskiftet eller udskiftet,” tilføjede SentinelOne. Deres forslag er, at ukrop eksekverbar, som de kaldte AcidRain, kunne udføre de nødvendige opgaver.
Viasat bekræftede senere, at SentinelOnes hypotese er "konsistent med fakta" i deres rapport.
Afslutningsvis…
Mens SentinelOne ikke definitivt kan binde AcidRain til VPNFilter, de note "en middelsikkerhedsvurdering af ikke-trivielle udviklingsmæssige ligheder mellem deres komponenter,” udtrykker også håb om, at forskningsmiljøet fortsat vil bidrage med deres resultater i samarbejdets ånd.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: