Uno degli ultimi grandi attacchi informatici che ha disabilitato decine di migliaia di modelli a banda larga di satelliti Viasat poche settimane fa è molto probabilmente associato al malware VPNFilter, attribuito alla Russia. La conclusione viene da SentinelOne.
L'attacco di SentinelOne contro Viasat
Che è successo? In febbraio 24, quando le truppe russe invasero l'Ucraina, I terminal Viasat in Europa e Ucraina sono stati messi fuori servizio inaspettatamente, causando la perdita della connettività Internet satellitare delle turbine eoliche in Germania e interferendo con il monitoraggio e il controllo.
Story correlati: Progetti Protestware su GitHub Push Pro-Ucraina Ads e Data Wiper
Viasat ha recentemente rilasciato una dichiarazione che fornisce una descrizione dell'attacco, anche se insufficiente. La società ha spiegato che l'intruso ha esplorato la sua rete interna fino a quando non ha potuto istruire i propri abbonati a sovrascrivere la memoria flash dei modem, che ha richiesto il ripristino delle impostazioni di fabbrica dell'apparecchiatura.
Più specificamente, i comandi distruttivi degli aggressori hanno sovrascritto i dati chiave nella memoria flash dei modem, rendendo i modem impossibilitati ad accedere alla rete, ma non permanentemente inutilizzabile. Tuttavia, la società non ha specificato come sono stati sovrascritti i modem in primo luogo. I ricercatori di SentinelOne forniscono una spiegazione, che è il più vicino possibile alla verità. L'azienda di sicurezza informatica ritiene che l'intrusione sia stata possibile grazie a un malware tergicristallo (che SentinelOne ha chiamato AcidRain) distribuito su detti dispositivi tramite un aggiornamento del firmware dannoso dal backend compromesso di Viasat. La conclusione deriva da un binario ELF MIPS sospetto, chiamato ukrop e caricato su VirusTotal a marzo 15.
Ecco cosa dice SentinelOne:
Martedì scorso, 15 marzo, 2022, un caricamento sospetto ha attirato la nostra attenzione. Un binario MIPS ELF è stato caricato su VirusTotal dall'Italia con il nome 'ukrop'. Non sapevamo come analizzare il nome in modo accurato. Possibili interpretazioni includono una scorciatoia per "ukr"aine "operazione"., l'acronimo di Associazione ucraina dei patrioti, o un insulto etnico russo per gli ucraini - 'Укроп'. Solo i soccorritori nel caso Viasat potevano dire in modo definitivo se si trattava effettivamente del malware utilizzato in questo particolare incidente.
Cosa è successo dopo nell'attacco? L'attore della minaccia ha implementato il meccanismo di gestione KA-SAT in un attacco alla catena di approvvigionamento, e ha spinto un wiper progettato specificamente per indirizzare modem e router. “Un wiper per questo tipo di dispositivo sovrascriverebbe i dati chiave nella memoria flash del modem, rendendolo inutilizzabile e necessitando di un reflash o di una sostituzione,” ha aggiunto SentinelOne. Il loro suggerimento è che l'eseguibile ukrop, che hanno chiamato AcidRain, potrebbe svolgere i compiti necessari.
Viasat ha poi confermato che l'ipotesi di SentinelOne è "coerente con i fatti" nel loro rapporto.
In conclusione…
Mentre SentinelOne non può collegare definitivamente AcidRain a VPNFilter, essi Nota “una valutazione di confidenza media delle somiglianze evolutive non banali tra i loro componenti,” esprimendo inoltre la speranza che la comunità di ricerca continuerà a contribuire con i propri risultati in uno spirito di collaborazione.