L'une des dernières cyberattaques majeures qui a désactivé des dizaines de milliers de modèles de satellites à large bande Viasat il y a quelques semaines est très probablement associée au malware VPNFilter, attribué à la Russie. La conclusion vient de SentinelOne.
Le point de vue de SentinelOne sur l'attaque contre Viasat
Qu'est ce qui s'est passé? En février 24, lorsque les troupes russes ont envahi l'Ukraine, Les terminaux Viasat en Europe et en Ukraine ont été mis hors ligne de manière inattendue, provoquant la perte de la connectivité Internet par satellite des éoliennes en Allemagne et interférant avec la surveillance et le contrôle.
histoire connexes: Projets Protestware sur GitHub Push Pro-Ukraine Ads and Data Wipers
Viasat a récemment publié une déclaration qui fournit une description de l'attaque, bien qu'insuffisant. La société a expliqué que l'intrus a exploré son réseau interne jusqu'à ce qu'il puisse demander à ses abonnés d'écraser le stockage flash des modems., qui a nécessité une réinitialisation d'usine de l'équipement.
Plus précisement, les commandes destructrices des attaquants ont écrasé les données clés dans la mémoire flash des modems, rendre les modems incapables d'accéder au réseau, mais pas définitivement inutilisable. Cependant, la société n'a pas précisé comment les modems ont été écrasés en premier lieu. Les chercheurs de SentinelOne fournissent une explication, qui est aussi proche de la vérité que possible. La firme de cybersécurité estime que l'intrusion a été possible grâce à un malware d'essuie-glace (que SentinelOne a appelé AcidRain) déployé sur lesdits appareils via une mise à jour malveillante du micrologiciel du backend compromis de Viasat. La conclusion découle d'un binaire MIPS ELF suspect, appelé ukrop et téléchargé sur VirusTotal en mars 15.
Voici ce que dit SentinelOne:
Mardi, 15 mars, 2022, un téléchargement suspect a attiré notre attention. Un binaire MIPS ELF a été téléchargé sur VirusTotal depuis l'Italie avec le nom 'ukrop'. Nous ne savions pas comment analyser le nom avec précision. Les interprétations possibles incluent un raccourci pour "ukr"aine "op"eration, l'acronyme de l'Association ukrainienne des patriotes, ou une insulte ethnique russe pour les Ukrainiens - 'Укроп'. Seuls les intervenants dans l'affaire Viasat pouvaient dire avec certitude s'il s'agissait en fait du logiciel malveillant utilisé dans cet incident particulier.
Que s'est-il passé ensuite dans l'attaque? L'auteur de la menace a déployé le mécanisme de gestion KA-SAT dans une attaque de la chaîne d'approvisionnement, et poussé un essuie-glace spécialement conçu pour cibler les modems et les routeurs. "Un essuie-glace pour ce type d'appareil écraserait les données clés de la mémoire flash du modem, le rendant inutilisable et nécessitant un reflashage ou un remplacement,” SentinelOne ajouté. Leur suggestion est que l'exécutable ukrop, qu'ils ont nommé AcidRain, pourrait effectuer les tâches nécessaires.
Viasat a confirmé plus tard que l'hypothèse de SentinelOne est "conforme aux faits" dans son rapport.
En conclusion…
Bien que SentinelOne ne puisse pas lier définitivement AcidRain à VPNFilter, ils Remarque "une évaluation de confiance moyenne des similitudes développementales non triviales entre leurs composants,” exprimant également l'espoir que la communauté de la recherche continuera à apporter ses découvertes dans un esprit de collaboration.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: