La cyberattaque Viasat imputée à un malware d’essuie-glace russe – TechCrunch

La récente cyberattaque contre le fournisseur américain de communications par satellite Viasat, un incident qui a déclenché des pannes de service par satellite dans toute l’Europe centrale et orientale, était probablement le résultat d’un logiciel malveillant d’effacement destructeur, selon une étude de sécurité récemment publiée.

Les détails sur la cyberattaque, qui a rendu le réseau KA-SAT de Viasat inopérant depuis le 24 février – le jour de l’invasion russe de l’Ukraine – sont jusqu’à présent peu précis. L’attaque, qui a également déconnecté l’accès à distance à environ 5 800 éoliennes dans toute l’Allemagneétait à l’origine considérée comme le résultat d’une attaque par déni de service distribué, mais les chercheurs de SentinelLabs pensent maintenant que c’était le résultat d’une nouvelle souche de malware d’effacement appelée « AcidRain » qui a été conçue pour effacer à distance les modems et routeurs vulnérables.

AcidRain était découverte par les chercheurs de SentinelLabs le 15 mars après avoir été téléchargé sur VirusTotal par un utilisateur en Italie avec le nom «ukrop», qui, selon les chercheurs, pourrait être un raccourci pour «opération en Ukraine». La fonctionnalité de l’essuie-glace est décrite comme “générique” par les chercheurs, en ce sens qu’elle effectue un nettoyage en profondeur du système de fichiers et de divers fichiers de périphériques de stockage connus, avant de tenter de détruire les données. Une fois les processus d’effacement terminés, l’appareil est redémarré et finalement rendu inutilisable.

“La fonctionnalité d’AcidRain est relativement simple et nécessite une tentative de force brute qui signifie peut-être que les attaquants n’étaient pas familiers avec les détails du micrologiciel cible ou voulaient que l’outil reste générique et réutilisable”, ont déclaré les chercheurs de SentinelLabs Juan Andres Guerrero-Saade et Max van Amerongen. .

Alors que l’identité des attaquants reste inconnue, SentinelLabs a noté des similitudes entre AcidRain et le Logiciel malveillant VPNFilter, qui a infecté des milliers de routeurs et de périphériques réseau domestiques et de petites entreprises dans le monde entier. En 2018, le FBI a attribué l’opération VPNFilter à le groupe de piratage “Fancy Bear” – ou APT28 – soutenu par la Russieet plus récemment, la NSA et la CISA l’ont lié à Sandworm, qui a été accusé d’une série d’attaques de cinq ans, y compris la destruction PasPetya une cyberattaque qui a ciblé des centaines d’entreprises et d’hôpitaux dans le monde et des cyberattaques qui ont détruit une partie du réseau électrique ukrainien. APT28 et Sandworm ont tous deux été liés à l’agence de renseignement militaire russe, le GRU.

Les chercheurs notent que même s’il “ne peut pas définitivement” lier AcidRain à VPNFilter, ou au plus grand groupe de menaces Sandworm, il note “une évaluation de confiance moyenne des similitudes de développement non triviales entre leurs composants”.

On pense que AcidRain est la septième souche de effacer les logiciels malveillants pour cibler l’Ukraine depuis le début de l’invasion russe, a déclaré le chercheur.

Viasat a confirmé une grande partie des conclusions de SentinelOne dans une déclaration donnée à TechCrunch. Viasaid a déclaré que les conclusions des chercheurs sont “conformes aux faits de notre rapport”, qu’il a publié mercredi, mais a refusé de commenter davantage citant une enquête en cours.

Viasat a déclaré mercredi dans son premier rapport de réponse aux incidents concernant la cyberattaque de février que les attaquants anonymes ont exploité un appareil VPN mal configuré pour obtenir un accès à distance au segment de “gestion de confiance” du réseau KA-SAT, avant d’utiliser leur accès pour “exécuter des opérations légitimes, commandes de gestion ciblées sur un grand nombre de modems résidentiels simultanément.

Viasat poursuit en ajoutant que “ces commandes destructrices ont écrasé les données clés dans la mémoire flash des modems, rendant les modems incapables d’accéder au réseau, mais pas définitivement inutilisables”.

SentineLabs note dans son rapport qu’il reste difficile de savoir comment des commandes légitimes pourraient avoir un tel effet perturbateur sur les modems. “Malgré la déclaration de Viasat affirmant qu’il n’y a pas eu d’attaque de la chaîne d’approvisionnement ou d’utilisation de code malveillant sur les routeurs concernés, nous posons l’hypothèse la plus plausible que les attaquants AcidRain (et peut-être d’autres binaires et scripts) à ces appareils afin de mener leur opération », ont conclu Guerrero-Saade et van Amerongen.

Depuis l’attaque de février, qui, selon Viasat, a touché plusieurs milliers de clients situés en Ukraine et des dizaines de milliers de clients à travers l’Europe, la société a expédié près de 30 000 modems aux distributeurs pour ramener les clients en ligne. Les perspectives ne sont pas encore entièrement résolues et La CISA et le FBI ont averti que les satellites américains pourraient être la prochaine cible.

Mis à jour avec le commentaire de Viasat.

Leave a Comment