数週間前に数万のViasat衛星ブロードバンドモデルを無効にした最新の主要なサイバー攻撃の1つは、VPNFilterマルウェアに関連している可能性が最も高いです。, ロシアに起因する. 結論はSentinelOneから来ています.
SentinelOneのViasatに対する攻撃への取り組み
どうしたの? 二月に 24, ロシア軍がウクライナを侵略したとき, ヨーロッパとウクライナのViasatターミナルが予期せずオフラインでノックされました, ドイツの風力タービンが衛星インターネット接続を失い、監視と制御に干渉する原因となる.
関連記事: GitHubPushPro-Ukraine広告とデータワイパーのProtestwareプロジェクト
Viasatは最近、攻撃の説明を提供する声明を発表しました, 不十分なのに. 同社は、侵入者が加入者にモデムのフラッシュストレージを上書きするように指示できるまで、内部ネットワークを探索したと説明しました。, 機器の工場出荷時のリセットが必要でした.
すなわち, 攻撃者の破壊的なコマンドは、モデムのフラッシュメモリ内のキーデータを上書きしました, モデムがネットワークにアクセスできなくなる, しかし、永久に使用できないわけではありません. でも, 同社は、そもそもモデムがどのように上書きされるかを特定していません. SentinelOneの研究者が説明を提供します, 可能な限り真実に近い. サイバーセキュリティ会社は、侵入が可能だったと信じています ワイパーマルウェア (SentinelOneがAcidRainと呼んだもの) Viasatの侵害されたバックエンドからの悪意のあるファームウェアアップデートを介して上記のデバイスにデプロイされた. 結論は、疑わしいMIPSELFバイナリに由来します, ukropと呼ばれ、3月にVirusTotalにアップロードされました 15.
これがSentinelOneの言うことです:
火曜日に, 3月15日, 2022, 不審なアップロードが私たちの注意を引いた. MIPSELFバイナリがイタリアからVirusTotalに「ukrop」という名前でアップロードされました. 名前を正確に解析する方法がわかりませんでした. 考えられる解釈には、「ukr」aine「op」erationの省略形が含まれます, ウクライナ愛国者協会の頭字語, またはウクライナ人のためのロシアの人種差別用語–'Укроп'. Viasat事件の事件対応者だけが、これが実際にこの特定の事件で使用されたマルウェアであるかどうかを明確に言うことができました。.
攻撃で次に何が起こったのか? 攻撃者は、サプライチェーン攻撃でKA-SAT管理メカニズムを展開しました, モデムとルーターをターゲットにするように特別に設計されたワイパーをプッシュしました. 「この種のデバイスのワイパーは、モデムのフラッシュメモリ内の重要なデータを上書きします, 動作不能にし、再フラッシュまたは交換が必要なレンダリング,」SentinelOneが追加されました. 彼らの提案は、ukrop実行可能ファイルです, 彼らはAcidRainと名付けました, 必要なタスクを実行できます.
Viasatは後に、SentinelOneの仮説が彼らのレポートで「事実と一致している」ことを確認しました.
結論は…
SentinelOneはAcidRainをVPNFilterに明確に結び付けることはできませんが, 彼ら ノート 「コンポーネント間の重要な発達上の類似性に関する中程度の信頼度の評価,」はまた、研究コミュニティがコラボレーションの精神で彼らの発見に貢献し続けることへの希望を表明しています.