Um dos principais ataques cibernéticos mais recentes que desativou dezenas de milhares de modelos de banda larga de satélites Viasat há algumas semanas está provavelmente associado ao malware VPNFilter, atribuído à Rússia. A conclusão vem do SentinelOne.
A opinião do SentinelOne sobre o ataque contra a Viasat
O que aconteceu? Em fevereiro 24, quando as tropas russas invadiram a Ucrânia, Terminais da Viasat na Europa e na Ucrânia foram desligados inesperadamente, fazendo com que as turbinas eólicas na Alemanha percam a conectividade com a Internet via satélite e interfiram no monitoramento e controle.
Story relacionado: Projetos de Protestware no GitHub Push Pro-Ukraine Ads e Data Wipers
A Viasat divulgou recentemente uma declaração que fornece alguma descrição do ataque, ainda que insuficiente. A empresa explicou que o invasor explorou sua rede interna até poder instruir seus assinantes a substituir o armazenamento flash dos modems, que exigia a redefinição de fábrica do equipamento.
Mais especificamente, os comandos destrutivos dos invasores sobrescreveram dados importantes na memória flash nos modems, tornando os modems incapazes de acessar a rede, mas não permanentemente inutilizável. Contudo, a empresa não especificou como os modems foram substituídos em primeiro lugar. Pesquisadores do SentinelOne fornecem uma explicação, que é o mais próximo possível da verdade. A empresa de segurança cibernética acredita que a invasão foi possível graças a um malware limpador (que SentinelOne chamou de AcidRain) implantado nos referidos dispositivos por meio de uma atualização de firmware maliciosa do back-end comprometido da Viasat. A conclusão decorre de um binário MIPS ELF suspeito, chamado ukrop e enviado para o VirusTotal em março 15.
Aqui está o que o SentinelOne diz:
Na terça-feira, 15 de março, 2022, um upload suspeito chamou nossa atenção. Um binário MIPS ELF foi carregado para o VirusTotal da Itália com o nome 'ukrop'. Não sabíamos como analisar o nome com precisão. Possíveis interpretações incluem uma abreviação para “ukr”aine “operação”, a sigla para a Associação Ucraniana de Patriotas, ou um insulto étnico russo para ucranianos – 'Укроп'. Somente os responsáveis pelo incidente no caso da Viasat poderiam dizer definitivamente se esse era de fato o malware usado nesse incidente específico.
O que aconteceu depois no ataque? O agente da ameaça implantou o mecanismo de gerenciamento KA-SAT em um ataque à cadeia de suprimentos, e empurrou um limpador projetado especificamente para direcionar modems e roteadores. “Um limpador para esse tipo de dispositivo substituiria dados importantes na memória flash do modem, tornando-o inoperável e na necessidade de reflash ou substituição,” SentinelOne adicionado. A sugestão deles é que o executável ukrop, que eles chamaram de AcidRain, poderia realizar as tarefas necessárias.
A Viasat confirmou mais tarde que a hipótese do SentinelOne é “consistente com os fatos” em seu relatório.
Em conclusão…
Embora o SentinelOne não possa vincular definitivamente o AcidRain ao VPNFilter, eles Nota “uma avaliação de confiança média de semelhanças de desenvolvimento não triviais entre seus componentes,” também expressando esperança de que a comunidade de pesquisa continue a contribuir com suas descobertas no espírito de colaboração.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: