Interrupção de satélite na Europa e Ucrânia foi causada por malware

Pesquisadores da SentinelOne dizem que malware limpador de modems e roteadores foi a causa do desligamentos de terminais da Viasat na Europa e na Ucrânia

A interrupção de dezenas de milhares de modems de banda larga via satélite Viasat algumas semanas atrás foi causada por um malware com links para o VPNFilter, suspostamente patrocinado pelo governo russo e desenvolvido para infectar roteadores e dispositivos de armazenamento conectados a uma rede. A informação é da empresa de segurança cibernética SentinelOne, que aponta que o operador da ameaça usou o mecanismo de gerenciamento KA-SAT em um ataque à cadeia de suprimentos para enviar um malware limpador projetado para modems e roteadores.

Em 24 de fevereiro, quando as tropas russas invadiram a Ucrânia, os terminais da Viasat na Europa e na Ucrânia foram repentina e inesperadamente desligados e ficaram inoperantes. Isso fez com que, entre outras coisas, milhares de turbinas eólicas na Alemanha perdessem a conectividade com a internet via satélite, necessária para monitoramento e controle remoto.

No início da semana passada, a Viasat forneceu alguns detalhes sobre a interrupção: culpou um dispositivo VPN mal configurado, que permitiu que um invasor acessasse um segmento de gerenciamento confiável da rede de satélite KA-SAT da Viasat.

O provedor de banda larga disse que o invasor explorou sua rede interna até conseguir instruir os modems dos assinantes a substituir seu armazenamento flash, exigindo uma redefinição de fábrica para restaurar o equipamento. Nós fomos avisados:

O invasor moveu-se lateralmente por essa rede de gerenciamento confiável para um segmento de rede específico usado para gerenciar e operar a rede e, em seguida, usou esse acesso à rede para executar comandos de gerenciamento legítimos e direcionados em um grande número de modems residenciais simultaneamente. Especificamente, esses comandos destrutivos sobrescreveram dados importantes na memória flash nos modems, tornando os modems incapazes de acessar a rede, mas não permanentemente inutilizáveis.

Como exatamente esses modems tiveram sua memória substituída não foi dito. De acordo com o braço de pesquisa da SentinelOne, no entanto, pode ter sido um malware de limpeza implantado nos dispositivos como uma atualização de firmware maliciosa do backend comprometido da Viasat. Esta conclusão foi baseada em um binário MIPS ELF de aparência suspeita chamado “ukrop” que foi carregado no VirusTotal em 15 de março.

“Somente os responsáveis ​​pelo incidente no caso Viasat poderiam dizer com propriedade se esse era, de fato, o malware usado nesse incidente em particular”, escreveram Juan Andres Guerrero-Saade e Max van Amerongen, da SentinelOne, na quinta-feira, 31 de março.

Depois de analisar a explicação “um tanto plausível, mas incompleta” da Viasat sobre o ataque cibernético, os dois pesquisadores chegaram a seguinte hipótese: “O operador da ameaça usou o mecanismo de gerenciamento KA-SAT em um ataque à cadeia de suprimentos para enviar um limpador projetado para modems e roteadores. Um limpador para esse tipo de dispositivo sobrescreveria dados importantes na memória flash do modem, tornando-o inoperante e precisando ser atualizado ou substituído”.

A Viasat não forneceu indicadores técnicos de comprometimento nem um relatório completo de resposta a incidentes, observaram os pesquisadores. Em vez disso, a operadora de satélites disse que comandos maliciosos interromperam os modems na Ucrânia e em outros países da Europa. A dupla da SentinelOne questionou como comandos legítimos poderiam causar esse nível de caos no modem. “A interrupção escalável é alcançada de maneira mais plausível ao enviar uma atualização, script ou executável”, disseram os pesquisadores ao The Register. Eles sugerem que o executável ukrop, que apelidaram de AcidRain, poderia fazer o truque.

O fato é que o laboratório do SentinelOne estava correto. Em um comunicado, a Viasat disse que a hipótese dos pesquisadores era “consistente com os fatos em nosso relatório…” O SentinelLabs identificou o executável destrutivo que foi executado nos modems usando um comando de gerenciamento legítimo, conforme descrito anteriormente pela Viasat. Por comandos destrutivos, Viasat quis dizer que os modems foram comandados por seus servidores de suporte comprometidos para executar malware destrutivo.

Fonte: CisoAdvisor

Fale com um especialista