Information Russian Wiper Malware Likely Behind Recent Cyberattack on Viasat KA-SAT Modems

Show informational about something

hafiz06

DFM Hackers
DFM Hackers
LV
0
 
6 Jun 2021
51
246
DragonCoin
4,705.00
Samsung Galaxy Z FLIP 3
viasat-hacking.jpg

Serangan siber yang menyasarkan Viasat yang menyebabkan modem KA-SAT di luar talian buat sementara waktu pada 24 Februari 2022, pada hari yang sama pasukan tentera Rusia menyerang Ukraine, dipercayai akibat daripada perisian hasad pengelap, menurut penyelidikan terkini dari SentinelOne.

Penemuan itu datang apabila syarikat telekomunikasi AS mendedahkan bahawa ia adalah sasaran serangan siber pelbagai rupa dan disengajakan terhadap rangkaian KA-SATnya, menghubungkannya dengan "pencerobohan rangkaian berasaskan darat oleh penyerang yang mengeksploitasi salah konfigurasi dalam perkakas VPN untuk mendapatkan keuntungan. akses jauh ke segmen pengurusan dipercayai rangkaian KA-SAT."

Apabila mendapat akses, musuh mengeluarkan "arahan yang merosakkan" pada puluhan ribu modem milik perkhidmatan jalur lebar satelit yang "menimpa data utama dalam memori kilat pada modem, menyebabkan modem tidak dapat mengakses rangkaian, tetapi tidak boleh digunakan secara kekal."

Tetapi SentinelOne berkata ia menemui sekeping perisian hasad baharu (bernama "ukrop") pada 15 Mac yang memaparkan keseluruhan kejadian dalam cahaya baharu - kompromi rantaian bekalan mekanisme pengurusan KA-SAT untuk menghantar pengelap, digelar AcidRain, kepada modem dan penghala dan mencapai gangguan berskala.

AcidRain direka bentuk sebagai MIPS ELF 32-bit boleh laku yang "melakukan penghapusan mendalam pada sistem fail dan pelbagai fail peranti storan yang diketahui," kata penyelidik Juan Andres Guerrero-Saade dan Max van Amerongen. "Jika kod berjalan sebagai akar, AcidRain melakukan timpa ulang rekursif awal dan memadam fail bukan standard dalam sistem fail."

malware.jpg

Setelah proses mengelap selesai, peranti dibut semula untuk menjadikannya tidak boleh beroperasi. Ini menjadikan AcidRain ketegangan pengelap ketujuh yang ditemui sejak awal tahun ini berkaitan dengan perang Rusia-Ukraine selepas WhisperGate, WhisperKill, HermeticWiper, IsaacWiper, CaddyWiper dan DoubleZero.

Analisis lanjut terhadap sampel pengelap juga telah menemui pertindihan kod "menarik" dengan pemalam peringkat ketiga ("dstr") yang digunakan dalam serangan yang melibatkan keluarga perisian hasad yang dipanggil VPNFilter, yang telah dikaitkan dengan kumpulan Cacing Pasir Rusia (aka Voodoo Bear).

Pada akhir Februari 2022, Pusat Keselamatan Siber Kebangsaan UK (NCSC), Agensi Keselamatan Siber dan Infrastruktur AS (CISA), Agensi Keselamatan Negara (NSA) dan Biro Penyiasatan Persekutuan (FBI) mendedahkan pengganti VPNFilter, memanggil rangka kerja penggantian Cyclops Blink.

Walaupun begitu, masih tidak jelas bagaimana pelakon ancaman mendapat akses kepada VPN. Dalam satu kenyataan yang dikongsi dengan The Hacker News, Viasat mengesahkan bahawa data yang memusnahkan perisian hasad memang digunakan pada modem menggunakan arahan "pengurusan yang sah" tetapi mengelak daripada berkongsi butiran lanjut memetik penyiasatan yang sedang dijalankan.

Keseluruhan kenyataan daripada syarikat adalah seperti berikut –

Fakta yang diberikan dalam Laporan Insiden Viasat semalam adalah tepat. Analisis dalam laporan SentinelLabs mengenai perduaan 'ukrop' adalah konsisten dengan fakta dalam laporan kami - khususnya, SentinelLabs mengenal pasti boleh laku yang merosakkan yang dijalankan pada modem menggunakan perintah pengurusan yang sah seperti yang diterangkan Viasat sebelum ini.

Seperti yang dinyatakan dalam laporan kami: "penyerang bergerak secara sisi melalui rangkaian pengurusan yang dipercayai ini ke segmen rangkaian tertentu yang digunakan untuk mengurus dan mengendalikan rangkaian, dan kemudian menggunakan akses rangkaian ini untuk melaksanakan perintah pengurusan yang sah dan disasarkan pada sejumlah besar modem kediaman secara serentak ."

Selain itu, kami tidak melihat ini sebagai serangan rantaian bekalan atau kelemahan. Seperti yang kami nyatakan, "Viasat tidak mempunyai bukti bahawa perisian modem standard atau pengedaran perisian tegar atau proses kemas kini yang terlibat dalam operasi rangkaian biasa telah digunakan atau terjejas dalam serangan itu." Selanjutnya, "tiada bukti bahawa sebarang data pengguna akhir telah diakses atau dikompromi."

Disebabkan penyiasatan yang sedang dijalankan dan untuk memastikan keselamatan sistem kami daripada serangan berterusan, kami tidak boleh berkongsi semua butiran forensik acara tersebut secara terbuka. Melalui proses ini, kami telah, dan terus bekerjasama dengan pelbagai penguatkuasa undang-undang dan agensi kerajaan di seluruh dunia, yang mempunyai akses kepada butiran acara tersebut.

Kami menjangkakan kami boleh memberikan butiran forensik tambahan apabila penyiasatan ini selesai.