Einer der jüngsten großen Cyberangriffe, der vor einigen Wochen Zehntausende Viasat-Satelliten-Breitbandmodelle deaktivierte, ist höchstwahrscheinlich mit der VPNFilter-Malware verbunden, Russland zugeschrieben. Das Fazit kommt von SentinelOne.
SentinelOne nimmt den Angriff auf Viasat auf
Was ist passiert? Im Februar 24, als russische Truppen in die Ukraine einmarschierten, Viasat-Terminals in Europa und der Ukraine wurden unerwartet offline geschaltet, Dies führt dazu, dass Windkraftanlagen in Deutschland die Satelliten-Internetverbindung verlieren und die Überwachung und Steuerung beeinträchtigen.
ähnliche Geschichte: Protestware-Projekte auf GitHub pushen Pro-Ukraine-Anzeigen und Datenlöscher
Viasat hat kürzlich eine Erklärung veröffentlicht, die eine Beschreibung des Angriffs enthält, auch wenn nicht ausreichend. Das Unternehmen erklärte, dass der Eindringling sein internes Netzwerk durchsuchte, bis er seine Abonnenten anweisen konnte, den Flash-Speicher von Modems zu überschreiben, was ein Zurücksetzen des Geräts auf die Werkseinstellungen erforderlich machte.
Genauer, Die zerstörerischen Befehle der Angreifer überschrieben Schlüsseldaten im Flash-Speicher der Modems, wodurch die Modems nicht auf das Netzwerk zugreifen können, aber nicht dauerhaft unbrauchbar. Jedoch, Das Unternehmen hat nicht angegeben, wie die Modems überhaupt überschrieben wurden. SentinelOne-Forscher liefern eine Erklärung, was der Wahrheit so nahe wie möglich kommt. Die Cybersicherheitsfirma glaubt, dass das Eindringen dank möglich war eine Wischer-Malware (die SentinelOne AcidRain nannte) auf den besagten Geräten über ein böswilliges Firmware-Update aus dem kompromittierten Backend von Viasat bereitgestellt. Die Schlussfolgerung ergibt sich aus einer verdächtigen MIPS ELF-Binärdatei, ukrop aufgerufen und im März auf VirusTotal hochgeladen 15.
Folgendes sagt SentinelOne:
Am Dienstag, 15. März, 2022, ein verdächtiger Upload erregte unsere Aufmerksamkeit. Eine MIPS ELF-Binärdatei wurde mit dem Namen „ukrop“ aus Italien auf VirusTotal hochgeladen. Wir wussten nicht, wie wir den Namen genau parsen sollten. Mögliche Interpretationen umfassen eine Abkürzung für „ukr“aine „operation“., das Akronym für die Ukrainische Vereinigung der Patrioten, oder eine russische ethnische Beleidigung für Ukrainer – „Укроп“. Nur die Einsatzkräfte im Fall Viasat konnten definitiv sagen, ob es sich tatsächlich um die Malware handelte, die in diesem speziellen Vorfall verwendet wurde.
Was als nächstes bei dem Angriff geschah? Der Bedrohungsakteur setzte den KA-SAT-Verwaltungsmechanismus bei einem Angriff auf die Lieferkette ein, und einen speziell für Modems und Router entwickelten Wiper eingeführt. „Ein Wiper für diese Art von Gerät würde Schlüsseldaten im Flash-Speicher des Modems überschreiben, wodurch es funktionsunfähig wird und neu geflasht oder ersetzt werden muss,“ fügte SentinelOne hinzu. Ihr Vorschlag ist, dass die ausführbare Datei ukrop, die sie AcidRain nannten, konnte die erforderlichen Aufgaben ausführen.
Viasat bestätigte später in ihrem Bericht, dass die Hypothese von SentinelOne „mit den Tatsachen übereinstimmt“..
Abschließend…
Während SentinelOne AcidRain nicht definitiv an VPNFilter binden kann, sie Notiz „eine mittlere Vertrauensbewertung von nicht-trivialen Entwicklungsähnlichkeiten zwischen ihren Komponenten,“ und drückte auch die Hoffnung aus, dass die Forschungsgemeinschaft ihre Ergebnisse weiterhin im Geiste der Zusammenarbeit einbringen wird.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: