Misterio resuelto en un ataque destructivo que eliminó >10k módems Viasat

Antena parabólica con una residencia privada y un cielo gris de fondo.
Agrandar / Una antena parabólica de Internet Viasat en el patio de una casa en Madison, Virginia.

Viasat, el proveedor de banda ancha satelital de alta velocidad cuyos módems se desconectaron en Ucrania y otras partes de Europa a principios de marzo, confirmó una teoría de investigadores externos de que un nuevo malware de limpieza con posibles vínculos con el gobierno ruso fue responsable de la ataque.

en un informe publicado el jueves, los investigadores de SentinelOne dijeron que descubrieron el nuevo limpiaparabrisas del módem y lo llamaron AcidRain. Los investigadores dijeron que AcidRain compartía múltiples similitudes técnicas con partes de VPNFilter, una pieza de malware que infectó a más de 500,000 módems domésticos y de pequeñas oficinas en los EE. UU. Múltiples agencias gubernamentales de EE. UU., primero el FBI y luego organizaciones incluida la Agencia de Seguridad Nacional

—todos atribuyeron el malware del módem a los actores de amenazas estatales rusos.

Introduzca ukrop

Los investig adores de SentinelOne, Juan Andres Guerrero-Saade y Max van Amerongen, postularon que AcidRain se utilizó en un ciberataque que saboteó miles de módems utilizados por los clientes de Viasat. Entre las pistas que encontraron estaba el nombre “ukrop” para uno de los binarios fuente de AcidRain.

Si bien SentinelOne dijo que no podía estar seguro de que su teoría fuera correcta, los representantes de Viasat rápidamente dijeron que la teoría sí lo era. Viasat también dijo que el hallazgo era consistente con un breve descripción la compañía publicó el miércoles.

viasat escribió:

El análisis en el informe de SentinelLabs con respecto al binario ukrop es consistente con los hechos de nuestro informe; específicamente, SentinelLabs identifica el ejecutable destructivo que se ejecutó en los módems utilizando un comando de administración legítimo como lo describió anteriormente Viasat. Como se indica en nuestro informe: “el atacante se movió lateralmente a través de esta red de administración confiable a un segmento de red específico utilizado para administrar y operar la red, y luego usó este acceso a la red para ejecutar comandos de administración legítimos y específicos en una gran cantidad de módems residenciales simultáneamente. .”

AcidRain es la séptima pieza distinta de malware de limpieza asociada con la invasión en curso de Rusia a Ucrania. Guerrero-Saade y van Amerongen dijeron que AcidRain es un archivo ejecutable para MIPS, la arquitectura de hardware para los módems utilizados por los clientes de Viasat. El malware se subió a VirusTotal desde Italia y se llamó “ukrop”.

“A pesar de lo que nos ha enseñado la invasión de Ucrania, el malware de limpieza es relativamente raro”, escribieron los investigadores. “Más aún, limpia el malware dirigido a enrutadores, módems o dispositivos IoT”.

Los investigadores pronto encontraron similitudes de desarrollo “no triviales” pero en última instancia “no concluyentes” entre AcidRain y un “dstr”, el nombre de un módulo de limpieza para VPNFilter. Las semejanzas incluían una similitud de código del 55 por ciento medida por una herramienta conocida como TLSHtablas de cadenas de encabezado de sección idénticas y el “almacenamiento del número de llamada al sistema anterior en una ubicación global antes de una nueva llamada al sistema”.

“En este momento, no podemos juzgar si se trata de una optimización del compilador compartido o una peculiaridad extraña del desarrollador”, dijeron los investigadores.

Un misterio resuelto, quedan más

La declaración de Viasat indica que la especulación fue acertada.

La descripción general de Viasat del miércoles decía que los piratas informáticos detrás del ataque destructivo obtuvieron acceso no autorizado a un segmento de administración de confianza de la red KA-SAT de la compañía al explotar una VPN mal configurada. Luego, los piratas informáticos ampliaron su alcance a otros segmentos que les permitieron “ejecutar comandos de administración específicos y legítimos en una gran cantidad de módems residenciales simultáneamente”. la red, pero no permanentemente inutilizable”.

Aún no está claro cómo los actores de amenazas obtuvieron acceso a la VPN.

También el jueves, el investigador de seguridad independiente Rubén Santamarta publicó un análisis que descubrió varias vulnerabilidades presentes en parte del firmware que se ejecuta en las terminales SATCOM interrumpidas en el ataque. Uno fue una falla al validar criptográficamente el nuevo firmware antes de instalarlo. Otra es “múltiples vulnerabilidades de inyección de comandos que pueden explotarse trivialmente desde un ACS malicioso”.

ACS parece referirse a un mecanismo conocido como servidores de configuración automática que se encuentran en un protocolo utilizado por los módems.

“No digo que estos temas hayan sido realmente abusados ​​por los atacantes, pero ciertamente no se ve bien”, escribió Santamarta. “Con suerte, estas vulnerabilidades ya no estarán presentes en el firmware más reciente de Viasat, de lo contrario, sería un problema”.

Claramente, todavía hay mucho misterio en torno a la desactivación de los módems Viasat. Pero la confirmación de que AcidRain fue el responsable de la carga útil es un avance importante.

“Me alegra que Viasat esté de acuerdo con nuestros hallazgos sobre AcidRain”, escribió Guerrero-Saade en un mensaje privado. “Espero que puedan compartir más de sus hallazgos. Hay mucho más por descubrir en este caso”.

Leave a Reply

Your email address will not be published. Required fields are marked *