Een van de laatste grote cyberaanvallen die een paar weken geleden tienduizenden breedbandmodellen van Viasat-satellieten uitschakelden, wordt hoogstwaarschijnlijk geassocieerd met de VPNFilter-malware, toegeschreven aan Rusland. De conclusie komt van SentinelOne.
SentinelOne's kijk op de aanval op Viasat
Wat is er gebeurd? In februari 24, toen Russische troepen Oekraïne binnenvielen, Viasat-terminals in Europa en Oekraïne werden onverwachts offline gehaald, waardoor windturbines in Duitsland de internetverbinding via satelliet kwijtraken en monitoring en controle verstoren.
Verwante Story: Protestware-projecten op GitHub Push Pro-Oekraïne-advertenties en gegevenswissers
Viasat heeft onlangs een verklaring vrijgegeven die een beschrijving geeft van de aanval, ook al is het onvoldoende. Het bedrijf legde uit dat de indringer zijn interne netwerk verkende totdat ze hun abonnees konden instrueren om de flash-opslag van modems te overschrijven, waarvoor fabrieksreset van de apparatuur nodig was.
Specifieker, de destructieve commando's van de aanvallers overschreven belangrijke gegevens in het flashgeheugen op de modems, waardoor de modems geen toegang kunnen krijgen tot het netwerk, maar niet permanent onbruikbaar. Echter, het bedrijf heeft niet gespecificeerd hoe de modems in de eerste plaats zijn overschreven. SentinelOne-onderzoekers geven uitleg, die zo dicht mogelijk bij de waarheid ligt. Het cyberbeveiligingsbedrijf is van mening dat de inbraak mogelijk was dankzij: een wisser malware (die SentinelOne AcidRain noemde) geïmplementeerd op de genoemde apparaten via een kwaadaardige firmware-update van de gecompromitteerde backend van Viasat. De conclusie komt voort uit een verdacht binair MIPS ELF, riep ukrop en uploadde naar VirusTotal in maart 15.
Dit is wat SentinelOne zegt:
Op dinsdag, 15 maart, 2022, een verdachte upload trok onze aandacht. Er is een MIPS ELF-binair bestand geüpload naar VirusTotal uit Italië met de naam 'ukrop'. We wisten niet hoe we de naam nauwkeurig moesten ontleden. Mogelijke interpretaties zijn onder meer een afkorting voor "ukr"aine "op"eration, het acroniem voor de Oekraïense Vereniging van Patriotten, of een Russische etnische smet voor Oekraïners - 'Укроп'. Alleen de incidentresponders in de Viasat-zaak konden definitief zeggen of dit inderdaad de malware was die bij dit specifieke incident werd gebruikt.
Wat gebeurde er daarna in de aanval?? De dreigingsactor heeft het KA-SAT-beheermechanisme ingezet bij een aanval op de toeleveringsketen, en duwde een wisser die speciaal is ontworpen om modems en routers te targeten. “Een wiper voor dit soort apparaten zou de belangrijkste gegevens in het flashgeheugen van de modem overschrijven, waardoor het onbruikbaar wordt en opnieuw moet worden geflasht of vervangen;,” SentinelOne toegevoegd. Hun suggestie is dat het uitvoerbare bestand van ukro, die ze AcidRain noemden, zou de benodigde taken kunnen uitvoeren.
Viasat bevestigde later dat de hypothese van SentinelOne "consistent is met de feiten" in hun rapport.
Ten slotte…
Hoewel SentinelOne AcidRain niet definitief aan VPNFilter kan koppelen, ze Notitie "een gemiddelde betrouwbaarheidsbeoordeling van niet-triviale ontwikkelingsovereenkomsten tussen hun componenten",” ook de hoop uitsprekend dat de onderzoeksgemeenschap hun bevindingen zal blijven bijdragen in de geest van samenwerking.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: