Viasat confirme le signalement d’un logiciel malveillant d’essuie-glace utilisé dans une cyberattaque en Ukraine

La société de communications par satellite Viasat a déclaré que ses propres recherches sont conformes à un nouveau rapport d’une entreprise de cybersécurité qui a déclaré qu’un Attaque de février contre leur infrastructure en Ukraine impliquait l’utilisation d’un nouveau malware nommé “AcidRain”.

SentinelOne a publié jeudi un rapport analysant la cyberattaque du 24 février qui a rendu les modems Viasat KA-SAT inopérants en Ukraine. L’attaque a eu d’autres effets en aval, causant le dysfonctionnement de 5 800 éoliennes Enercon en Allemagne et perturbations pour des milliers d’organisations à travers l’Europe.

La société de cybersécurité a attribué l’attaque à AcidRain, un essuie-glace conçu pour les modems et les routeurs.

Un essuie-glace peut écraser les données clés dans la mémoire flash d’un modem, le rendant inutilisable et nécessitant un reflashage ou un remplacement, a expliqué SentinelOne.

Dans une déclaration à The Record, Viasat a déclaré que les faits contenus dans le rapport de SentinelOne sont exacts et conformes aux informations contenues dans leur propre rapport sur la cyberattaque.

“L’analyse du rapport SentinelLabs concernant le binaire ukrop est cohérente avec les faits de notre rapport – en particulier, SentinelLabs identifie l’exécutable destructeur qui a été exécuté sur les modems à l’aide d’une commande de gestion légitime comme Viasat l’a décrit précédemment”, a déclaré la société.

“Viasat n’a aucune preuve que des logiciels de modem standard ou des processus de distribution ou de mise à jour de micrologiciels impliqués dans les opérations réseau normales ont été utilisés ou compromis dans l’attaque”, ajoutant qu'”il n’y a aucune preuve que des données d’utilisateur final ont été consultées ou compromises”.

Ils n’ont pas publié les détails médico-légaux de l’attaque car l’enquête est en cours et ils travaillent avec plusieurs organismes d’application de la loi à travers le monde. La société a engagé Mandiant pour enquêter sur l’attaque et s’est engagée à publier des détails médico-légaux supplémentaires une fois l’enquête terminée.

Viasat a publié une longue déclaration à propos de l’attaque de mercredi, expliquant qu’elle a été localisée sur une seule partition orientée consommateur du réseau KA-SAT qui est exploitée pour le compte de Viasat par une filiale appelée Skylogic.

Il y a eu une « intrusion dans le réseau au sol » par un attaquant exploitant une mauvaise configuration dans un appareil VPN qui lui a permis d’accéder à distance au segment de gestion de confiance du réseau KA-SAT.

“L’attaquant s’est déplacé latéralement à travers ce réseau de gestion de confiance vers un segment de réseau spécifique utilisé pour gérer et exploiter le réseau, puis a utilisé cet accès au réseau pour exécuter simultanément des commandes de gestion légitimes et ciblées sur un grand nombre de modems résidentiels”, a déclaré la société.

Les commandes destructrices ont écrasé les données clés dans la mémoire flash des modems, rendant les modems incapables d’accéder au réseau, a déclaré Viasat, ajoutant qu’il n’y avait “aucun impact ou compromis sur les composants physiques ou électroniques du modem, aucune preuve de compromis ou de falsification Logiciel de modem Viasat ou images de micrologiciel et aucune preuve d’interférence de la chaîne d’approvisionnement.

Une “hypothèse plus plausible”

SentinelOne a déclaré que les preuves de la déclaration de Viasat et une analyse de l’attaque indiquaient qu’AcidRain pourrait avoir été impliqué dans l’incident.

“Malgré la déclaration de Viasat affirmant qu’il n’y a pas eu d’attaque de la chaîne d’approvisionnement ou d’utilisation de code malveillant sur les routeurs concernés, nous posons l’hypothèse la plus plausible que les attaquants AcidRain (et peut-être d’autres binaires et scripts) à ces appareils afin de mener leur opération “, a déclaré SentinelOne, ajoutant qu’il existe des liens entre AcidRain et VPNFilter, un logiciel malveillant modulaire que le FBI, la NSA, la CISA et d’autres avoir attribuée aux acteurs de la menace russe.

La semaine dernière, Anne Neuberger, conseillère adjointe à la sécurité nationale des États-Unis pour la cybersécurité et les technologies émergentes, a déclaré que les États-Unis “recherchaient attentivement” qui se cache derrière le piratage.

“Nous n’avons pas encore attribué cette attaque, mais nous l’examinons attentivement en raison… de l’impact non seulement en Ukraine, mais aussi sur les systèmes de communication par satellite en Europe”, a déclaré Neuberger lors d’un point de presse.

SentinelOne a noté qu’AcidRain est le 7e essuyer les logiciels malveillants liés à l’invasion russe de l’Ukraine.

WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper et DoubleZero sont toutes des versions de logiciels malveillants d’essuie-glace vus utilisé contre des organisations gouvernementales ukrainiennes depuis février.

Jonathan a travaillé dans le monde entier en tant que journaliste depuis 2014. Avant de retourner à New York, il a travaillé en Afrique du Sud, en Jordanie et au Cambodge.

Leave a Comment