Agrandir / Une antenne parabolique Internet Viasat dans la cour d’une maison à Madison, en Virginie.
Viasat – le fournisseur de haut débit par satellite à large bande dont les modems ont été mis hors service en Ukraine et dans d’autres parties de l’Europe au début du mois de mars – a confirmé une théorie de chercheurs tiers selon laquelle un nouveau logiciel malveillant d’effacement avec des liens possibles avec le gouvernement russe était responsable de la attaque.
Dans un rapport publié jeudi, des chercheurs de SentinelOne ont déclaré avoir découvert le nouvel essuie-glace du modem et l’ont nommé AcidRain. Les chercheurs ont déclaré qu’AcidRain partageait de multiples similitudes techniques avec des parties de VPNFilter, un logiciel malveillant qui a infecté plus de 500 000 modems domestiques et de petites entreprises aux États-Unis. Plusieurs agences gouvernementales américaines, d’abord le FBI, puis des organisations telles que la National Security Agency, ont toutes attribué le logiciel malveillant du modem aux acteurs de la menace étatique russe.
Entrez ukrop
Les chercheurs de SentinelOne Juan Andres Guerrero-Saade et Max van Amerongen ont postulé qu’AcidRain a été utilisé dans une cyberattaque qui a saboté des milliers de modems utilisés par les clients de Viasat. Parmi les indices qu’ils ont trouvés, il y avait le nom “ukrop” pour l’un des binaires sources d’AcidRain.
Alors que SentinelOne a déclaré qu’il ne pouvait pas être sûr que sa théorie était correcte, les représentants de Viasat ont rapidement déclaré que la théorie l’était. Viasat a également déclaré que la découverte était cohérente avec un bref aperçu que la société a publié mercredi.
Viasat a écrit :
L’analyse du rapport SentinelLabs concernant le binaire ukrop est cohérente avec les faits de notre rapport – en particulier, SentinelLabs identifie l’exécutable destructeur qui a été exécuté sur les modems à l’aide d’une commande de gestion légitime comme Viasat décrit précédemment. Comme indiqué dans notre rapport : “l’attaquant s’est déplacé latéralement à travers ce réseau de gestion de confiance vers un segment de réseau spécifique utilisé pour gérer et exploiter le réseau, puis a utilisé cet accès au réseau pour exécuter des commandes de gestion légitimes et ciblées sur un grand nombre de modems résidentiels simultanément. .”
AcidRain est le septième malware d’essuie-glace associé à l’invasion en cours de l’Ukraine par la Russie. Guerrero-Saade et van Amerongen ont déclaré qu’AcidRain est un fichier exécutable pour MIPS, l’architecture matérielle des modems utilisés par les clients Viasat. Le logiciel malveillant a été téléchargé sur VirusTotal depuis l’Italie et portait le nom “ukrop”.
Publicité
“Malgré ce que l’invasion de l’Ukraine nous a appris, les logiciels malveillants d’essuie-glace sont relativement rares”, ont écrit les chercheurs. “Plus encore, les logiciels malveillants d’effacement visant les routeurs, les modems ou les appareils IoT.”
Les chercheurs ont rapidement trouvé des similitudes de développement “non triviales” mais finalement “non concluantes” entre AcidRain et un “dstr”, le nom d’un module d’essuie-glace pour VPNFilter. Les ressemblances comprenaient une similarité de code de 55 % mesurée par un outil connu sous le nom de TLSH, des tables de chaînes d’en-tête de section identiques et le “stockage du numéro d’appel système précédent dans un emplacement global avant un nouvel appel système”.
“Pour le moment, nous ne pouvons pas juger s’il s’agit d’une optimisation partagée du compilateur ou d’une étrange bizarrerie de développeur”, ont déclaré les chercheurs.
Un mystère résolu, il en reste d’autres
La déclaration de Viasat indique que la spéculation était juste.
L’aperçu de Viasat de mercredi indique que les pirates à l’origine de l’attaque destructrice ont obtenu un accès non autorisé à un segment de gestion de la confiance du réseau KA-SAT de l’entreprise en exploitant un VPN mal configuré. Les pirates ont ensuite étendu leur portée à d’autres segments qui leur ont permis « d’exécuter simultanément des commandes de gestion légitimes et ciblées sur un grand nombre de modems résidentiels. Plus précisément, ces commandes destructrices ont écrasé les données clés dans la mémoire flash des modems, rendant les modems incapables d’accéder le réseau, mais pas définitivement inutilisable.”
La manière dont les acteurs de la menace ont eu accès au VPN n’est toujours pas claire.
Jeudi également, le chercheur indépendant en sécurité Ruben Santamarta a publié une analyse qui a révélé plusieurs vulnérabilités présentes dans certains des micrologiciels qui s’exécutent sur les terminaux SATCOM perturbés lors de l’attaque. L’un était un échec de validation cryptographique du nouveau micrologiciel avant de l’installer. Un autre est “les vulnérabilités d’injection de commandes multiples qui peuvent être exploitées de manière triviale à partir d’un ACS malveillant”.
ACS semble faire référence à un mécanisme connu sous le nom de serveurs de configuration automatique trouvé dans un protocole utilisé par les modems.
“Je ne dis pas que ces problèmes ont été abusés par les attaquants, mais cela ne semble certainement pas bon”, a écrit Santamarta. “J’espère que ces vulnérabilités ne sont plus présentes dans le dernier firmware Viasat, sinon ce serait un problème.”
De toute évidence, beaucoup de mystère entoure encore la désactivation des modems Viasat. Mais la confirmation qu’AcidRain était la charge utile responsable est une percée importante.
“Je suis heureux que Viasat ait approuvé nos conclusions sur AcidRain”, a écrit Guerrero-Saade dans un message privé. “J’espère qu’ils pourront partager plus de leurs découvertes. Il y a beaucoup plus à découvrir dans cette affaire.”
