Viasat confirme que les modems satellites ont été effacés par le malware AcidRain

New AcidRain data wiper malware targets modems and routers

Un logiciel malveillant d’effacement de données récemment découvert qui efface les routeurs et les modems a été déployé dans la cyberattaque qui ciblait le service haut débit par satellite KA-SAT pour effacer les modems SATCOM le 24 février, affectant des milliers de personnes en Ukraine et des dizaines de milliers d’autres à travers l’Europe.

Le malware, surnommé AcidRain par les chercheurs de SentinelOne, est conçu pour forcer brutalement les noms de fichiers des appareils et effacer tous les fichiers qu’il peut trouver, ce qui facilite le redéploiement lors d’attaques futures.

Selon SentinelOne, cela pourrait faire allusion au manque de familiarité des attaquants avec le système de fichiers et le micrologiciel des appareils ciblés ou à leur intention de développer un outil réutilisable.

AcidRain a été repéré pour la première fois le 15 mars après son téléchargement sur la plate-forme d’analyse des logiciels malveillants VirusTotal à partir d’une adresse IP en Italie en tant que binaire MIPS ELF 32 bits utilisant le nom de fichier « ukrop ».

Une fois déployé, il passe par l’ensemble du système de fichiers du routeur ou du modem compromis. Il efface également la mémoire flash, les cartes SD/MMC et tous les périphériques de bloc virtuels qu’il peut trouver, en utilisant tous les identifiants de périphérique possibles.

« Le binaire effectue un nettoyage en profondeur du système de fichiers et de divers fichiers de périphériques de stockage connus. Si le code s’exécute en tant que root, AcidRain effectue un écrasement et une suppression récursifs initiaux des fichiers non standard du système de fichiers. » Juan Andres Guerrero-Saade et Max van Amerongen, chercheurs sur les menaces de SentinelOne, ont expliqué.

Pour détruire les données sur les appareils compromis, le nettoyeur écrase le contenu du fichier avec jusqu’à 0x40000 octets de données ou utilise les appels système MEMGETINFO, MEMUNLOCK, MEMERASE et MEMWRITEOOB de contrôle d’entrée/sortie (IOCTL).

Une fois les processus d’effacement des données d’AcidRain terminés, le logiciel malveillant redémarre l’appareil, le rendant inutilisable.

Utilisé pour effacer les modems de communication par satellite en Ukraine

Sur la base du nom du binaire AcidRain téléchargé sur VirusTotal, qui pourrait être une abréviation de « Ukraine Operation », SentinelOne a déclaré que le malware aurait pu être développé explicitement pour une opération contre l’Ukraine et probablement utilisé pour effacer les modems dans la cyberattaque KA-SAT.

« L’acteur de la menace a utilisé le mécanisme de gestion KA-SAT dans une attaque de la chaîne d’approvisionnement pour pousser un essuie-glace conçu pour les modems et les routeurs », a émis l’hypothèse de SentinelOne.

« Un essuie-glace pour ce type d’appareil écraserait les données clés de la mémoire flash du modem, le rendant inutilisable et nécessitant un reflashage ou un remplacement. »

Cela contredit directement un rapport d’incident Viasat sur l’incident KA-SAT indiquant qu’il n’a trouvé « aucune preuve de compromis ou de falsification du logiciel du modem Viasat ou des images du micrologiciel et aucune preuve d’interférence de la chaîne d’approvisionnement ».

Cependant, Viasat a confirmé l’hypothèse de SentinelOne, affirmant que les logiciels malveillants détruisant les données ont été déployés sur des modems à l’aide de commandes de « gestion légitimes ».

« L’analyse du rapport SentinelLabs concernant le binaire ukrop est cohérente avec les faits de notre rapport – en particulier, SentinelLabs identifie l’exécutable destructeur qui a été exécuté sur les modems à l’aide d’une commande de gestion légitime comme Viasat l’a décrit précédemment », a déclaré un porte-parole de Viasat à EZpublish-france.fr.

« Nous espérons pouvoir fournir des détails médico-légaux supplémentaires lorsque cette enquête sera terminée. »

L’utilisation d’AcidRain pour effacer les modems a également été confirmée par le chercheur en sécurité Ruben Santamarta qui a vidé la mémoire flash d’un modem SATCOM corrompu lors de l’attaque contre KA-SAT.

Comme le dit SentinelOne, le schéma destructeur observé par Santamarta correspond à la sortie de la méthode d’effacement par écrasement d’AcidRain.

Le fait que Viasat ait expédié près de 30 000 modems depuis l’attaque de février 2022 pour ramener les clients en ligne et continue encore plus pour accélérer la restauration du service laisse également entendre que la théorie de l’attaque de la chaîne d’approvisionnement de SentinelOne tient la route.

En remarque, les IOCTL utilisés par ce malware correspondent également à ceux utilisés par le plugin d’effacement « dstr » du malware VPNFilter, un outil malveillant attribué aux pirates GRU russes (Fancy Bear ou Sandworm).

Septième effaceur de données déployé contre l’Ukraine cette année

AcidRain est le septième logiciel malveillant d’effacement de données déployé dans des attaques contre l’Ukraine, six autres ayant été utilisés pour cibler le pays depuis le début de l’année.

L’équipe d’intervention d’urgence informatique de l’Ukraine a récemment signalé qu’un effaceur de données qu’il suit comme DoubleZéro a été déployé dans des attaques visant des entreprises ukrainiennes.

Un jour avant le début de l’invasion russe de l’Ukraine, ESET a repéré un malware d’effacement de données désormais connu sous le nom de HermeticWiper, qui a été utilisé contre des organisations en Ukraine avec des leurres de ransomware.

Le jour où la Russie a envahi l’Ukraine, ils ont également découvert un effaceur de données appelé IsaacWiper et un nouveau ver nommé HermeticWizard utilisé pour supprimer les charges utiles HermeticWiper.

ESET a également repéré une quatrième souche de logiciels malveillants détruisant les données qu’ils ont surnommée CaddyWiper, un essuie-glace qui supprime les données utilisateur et les informations de partition des pilotes connectés et efface également les données sur les domaines Windows sur lesquels il est déployé.

Un cinquième logiciel malveillant d’effacement, suivi comme MurmureKilla été repéré par le Service d’État ukrainien pour les communications et la protection de l’information (CIP), qui a déclaré avoir réutilisé 80 % du code d’Encrpt3d Ransomware (également connu sous le nom de WhiteBlackCrypt Ransomware).

À la mi-janvier, Microsoft a trouvé un sixième essuie-glace désormais suivi sous le nom de WhisperGate, utilisé dans des attaques d’effacement de données contre l’Ukraine, déguisé en rançongiciel.

Mettre à jour: Un porte-parole de Viasat a envoyé la déclaration suivante après la publication de l’histoire :

Les faits fournis dans le rapport d’incident de Viasat hier sont exacts. L’analyse du rapport SentinelLabs concernant le binaire ukrop est cohérente avec les faits de notre rapport – plus précisément, SentinelLabs identifie l’exécutable destructeur qui a été exécuté sur les modems à l’aide d’une commande de gestion légitime comme Viasat décrit précédemment.

Comme indiqué dans notre rapport : « l’attaquant s’est déplacé latéralement à travers ce réseau de gestion de confiance vers un segment de réseau spécifique utilisé pour gérer et exploiter le réseau, puis a utilisé cet accès au réseau pour exécuter des commandes de gestion légitimes et ciblées sur un grand nombre de modems résidentiels simultanément. . »

De plus, nous ne considérons pas cela comme une attaque ou une vulnérabilité de la chaîne d’approvisionnement. Comme nous l’avons noté, « Viasat n’a aucune preuve que le logiciel de modem standard ou les processus de distribution ou de mise à jour du micrologiciel impliqués dans les opérations réseau normales ont été utilisés ou compromis dans l’attaque ». De plus, « il n’y a aucune preuve que des données d’utilisateurs finaux aient été consultées ou compromises ».

En raison de l’enquête en cours et pour assurer la sécurité de nos systèmes contre les attaques en cours, nous ne pouvons pas partager publiquement tous les détails médico-légaux de l’événement. Grâce à ce processus, nous avons coopéré et continuons de coopérer avec divers organismes d’application de la loi et gouvernementaux du monde entier, qui ont eu accès aux détails de l’événement.

Nous espérons pouvoir fournir des détails médico-légaux supplémentaires lorsque cette enquête sera terminée.