Uno de los últimos ataques cibernéticos importantes que inhabilitó decenas de miles de modelos de banda ancha de satélites Viasat hace unas semanas probablemente esté asociado con el malware VPNFilter., atribuido a Rusia. La conclusión proviene de SentinelOne..
Opinión de SentinelOne sobre el ataque contra Viasat
Que pasó? En febrero 24, cuando las tropas rusas invadieron Ucrania, Las terminales de Viasat en Europa y Ucrania se desconectaron inesperadamente, causando que las turbinas eólicas en Alemania pierdan la conectividad a Internet satelital e interfiriendo con el monitoreo y control.
Artículo relacionado: Proyectos de Protestware en GitHub Push Pro-Ukraine Ads and Data Wipers
Viasat publicó recientemente una declaración que proporciona una descripción del ataque., aunque insuficiente. La compañía explicó que el intruso exploró su red interna hasta que pudo instruir a sus suscriptores para que sobrescribieran el almacenamiento flash de los módems., que requería reseteo de fábrica del equipo.
Más específicamente, los comandos destructivos de los atacantes sobrescribieron los datos clave en la memoria flash de los módems, hacer que los módems no puedan acceder a la red, pero no permanentemente inutilizable. Sin embargo, la empresa no ha especificado cómo se sobrescribieron los módems en primer lugar. Los investigadores de SentinelOne brindan una explicación, que está lo más cerca posible de la verdad. La firma de ciberseguridad cree que la intrusión fue posible gracias a un malware de limpiaparabrisas (que SentinelOne llamó AcidRain) implementado en dichos dispositivos a través de una actualización de firmware maliciosa del backend comprometido de Viasat. La conclusión surge de un binario MIPS ELF sospechoso, llamado ukrop y subido a VirusTotal en marzo 15.
Esto es lo que dice SentinelOne:
El martes, 15 de marzo, 2022, una carga sospechosa llamó nuestra atención. Se cargó un binario MIPS ELF a VirusTotal desde Italia con el nombre 'ukrop'. No sabíamos cómo analizar el nombre con precisión.. Las posibles interpretaciones incluyen una forma abreviada de “operación” “ukr”aine, el acrónimo de la Asociación Ucraniana de Patriotas, o un insulto étnico ruso para los ucranianos: 'Укроп'. Solo los que respondieron al incidente en el caso de Viasat pudieron decir definitivamente si este era de hecho el malware utilizado en este incidente en particular..
Lo que pasó después en el ataque? El actor de amenazas desplegó el mecanismo de gestión KA-SAT en un ataque a la cadena de suministro, y empujó un limpiador diseñado específicamente para apuntar a módems y enrutadores. “Un limpiador para este tipo de dispositivo sobrescribiría los datos clave en la memoria flash del módem., dejándolo inoperable y necesitando volver a flashear o reemplazar,SentinelOne agregó. Su sugerencia es que el ejecutable ukrop, al que llamaron AcidRain, podría realizar las tareas necesarias.
Viasat luego confirmó que la hipótesis de SentinelOne es "consistente con los hechos" en su informe..
En conclusión…
Si bien SentinelOne no puede vincular definitivamente AcidRain a VPNFilter, ellos Nota “una evaluación de confianza media de similitudes de desarrollo no triviales entre sus componentes,expresando también la esperanza de que la comunidad investigadora continúe contribuyendo con sus hallazgos en un espíritu de colaboración..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: