Der Cyberangriff auf Viasat, der die KA-SAT-Modems am 24. Februar 2022, dem Tag des Einmarsches der russischen Streitkräfte in die Ukraine, vorübergehend außer Betrieb setzte, war nach neuesten Erkenntnissen von SentinelOne vermutlich die Folge einer Wiper-Malware.
Die Ergebnisse kommen einen Tag, nachdem das US-Telekommunikationsunternehmen bekannt gegeben hat, dass es Ziel eines „vielschichtigen und vorsätzlichen“ Cyberangriffs auf sein KA-SAT-Netzwerk war, der mit einem „bodengestützten Netzwerkeinbruch durch einen Angreifer in Verbindung gebracht wird, der eine Fehlkonfiguration in einer VPN-Appliance ausnutzt, um Fernzugriff auf das vertrauenswürdige Managementsegment des KA-SAT-Netzwerks zu erlangen“.
Nachdem er sich Zugang verschafft hatte, gab der Angreifer „zerstörerische Befehle“ an Zehntausende von Modems des Satelliten-Breitbanddienstes aus, die „Schlüsseldaten im Flash-Speicher der Modems überschrieben, wodurch die Modems zwar nicht mehr auf das Netzwerk zugreifen konnten, aber nicht dauerhaft unbrauchbar wurden“.
SentinelOne gab jedoch an, am 15. März eine neue Schadsoftware mit dem Namen „ukrop“ entdeckt zu haben, die den gesamten Vorfall in einem neuen Licht erscheinen lässt – eine Kompromittierung der Lieferkette des KA-SAT-Verwaltungsmechanismus, um den Wiper mit dem Namen AcidRain an die Modems und Router zu liefern und eine skalierbare Störung zu erreichen.
AcidRain ist als 32-Bit-MIPS-ELF-Programm konzipiert, das „das Dateisystem und verschiedene bekannte Speichergerätedateien gründlich löscht“, so die Forscher Juan Andres Guerrero-Saade und Max van Amerongen. „Wenn der Code als Root läuft, führt AcidRain zunächst ein rekursives Überschreiben und Löschen von Nicht-Standard-Dateien im Dateisystem durch.
Sobald der Löschvorgang abgeschlossen ist, wird das Gerät neu gebootet, um es funktionsunfähig zu machen. Damit ist AcidRain nach WhisperGate, WhisperKill, HermeticWiper, IsaacWiper, CaddyWiper und DoubleZero der siebte Wiper-Stamm, der seit Anfang des Jahres im Zusammenhang mit dem russisch-ukrainischen Krieg aufgedeckt wurde.
Eine weitere Analyse des Wiper-Samples hat außerdem eine „interessante“ Codeüberschneidung mit einem Third Stage Plugin („dstr“) aufgedeckt, das bei Angriffen mit einer Malware-Familie namens VPNFilter verwendet wird, die der russischen Gruppe Sandworm (auch bekannt als Voodoo Bear) zugeschrieben wird.
Ende Februar 2022 enthüllten das britische National Cyber Security Centre (NCSC), die U.S. Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das Federal Bureau of Investigation (FBI) einen Nachfolger von VPNFilter und nannten das Ersatz-Framework Cyclops Blink.
Allerdings ist immer noch unklar, wie sich die Angreifer Zugang zu dem VPN verschafft haben. In einer Erklärung an The Hacker News bestätigte Viasat, dass die datenzerstörende Schadsoftware tatsächlich über „legitime Management“-Befehle auf den Modems installiert wurde, wollte aber mit Verweis auf die laufenden Ermittlungen keine weiteren Details nennen.
Die gesamte Erklärung des Unternehmens lautet wie folgt
Die Fakten, die gestern im Viasat Incident Report genannt wurden, sind korrekt. Die Analyse im Bericht von SentinelLabs bezüglich der „ukrop“-Binärdatei stimmt mit den Fakten in unserem Bericht überein – insbesondere identifiziert SentinelLabs die zerstörerische ausführbare Datei, die auf den Modems mit einem legitimen Verwaltungsbefehl ausgeführt wurde, wie Viasat zuvor beschrieben hat.
Wie in unserem Bericht erwähnt: „Der Angreifer bewegte sich seitlich durch dieses vertrauenswürdige Verwaltungsnetzwerk zu einem bestimmten Netzwerksegment, das für die Verwaltung und den Betrieb des Netzwerks verwendet wird, und nutzte dann diesen Netzwerkzugang, um legitime, gezielte Verwaltungsbefehle auf einer großen Anzahl von privaten Modems gleichzeitig auszuführen.“
Außerdem sehen wir dies nicht als einen Angriff auf die Lieferkette oder eine Schwachstelle an. Wir haben festgestellt, dass „Viasat keine Beweise dafür hat, dass Standard-Modem-Software oder Firmware-Verteilungs- oder Update-Prozesse, die zum normalen Netzwerkbetrieb gehören, bei dem Angriff verwendet oder beeinträchtigt wurden“. Außerdem „gibt es keine Beweise dafür, dass auf Endnutzerdaten zugegriffen wurde oder diese kompromittiert wurden.
Aufgrund der laufenden Ermittlungen und um die Sicherheit unserer Systeme vor weiteren Angriffen zu gewährleisten, können wir nicht alle forensischen Details des Vorfalls öffentlich machen. Während dieses Prozesses haben wir mit verschiedenen Strafverfolgungsbehörden und Regierungsstellen auf der ganzen Welt zusammengearbeitet, die Zugang zu den Details des Vorfalls hatten.
Wir gehen davon aus, dass wir weitere forensische Details bekannt geben können, sobald die Ermittlungen abgeschlossen sind.