Antena parabólica con casa privada y cielo gris en el fondo.
Agrandar / Una antena parabólica de Internet Viasat en el patio de una casa en Madison, Virginia.

Viasat, el proveedor de banda ancha satelital de alta velocidad cuyos módems fallaron en Ucrania y otras partes de Europa a principios de marzo, confirmó una teoría de investigadores externos de que un nuevo malware de limpieza con posibles vínculos con el gobierno ruso fue responsable del ataque. .

En un informe publicado el jueves, los investigadores de SentinelOne dijeron que descubrieron el nuevo limpiaparabrisas de módem y lo llamaron AcidRain. Los investigadores dijeron que AcidRain compartía varias similitudes técnicas con partes de VPNFilter, un malware que infectó a más de 500 000 módems domésticos y de pequeñas oficinas en EE. UU. Varias agencias del gobierno de EE. UU., Primero el FBI y más tarde organizaciones, incluida la Agencia de Seguridad Nacional, atribuyeron el malware del módem a los actores de amenazas estatales rusos.

Introduzca ukrop

Los investigadores de SentinelOne, Juan Andres Guerrero-Saade y Max van Amerongen, postularon que AcidRain se utilizó en un ciberataque que saboteó miles de módems utilizados por los clientes de Viasat. Entre las pistas que encontraron estaba el nombre «ukrop» para uno de los binarios fuente de AcidRain.

Si bien SentinelOne dijo que no podía estar seguro de si su teoría era correcta, los funcionarios de Viasat se apresuraron a decir que la teoría era correcta. Viasat también dijo que el resultado concuerda con un breve resumen que la compañía publicó el miércoles.

viasat escribió:

El análisis en el informe de SentinelLabs con respecto al binario ukrop es consistente con los hechos de nuestro informe; específicamente, SentinelLabs identifica el ejecutable destructivo que se ejecutó en los módems usando un comando administrativo legítimo, como Viasat describió anteriormente. Como se indica en nuestro informe: “El atacante se movió lateralmente a través de esta red de administración confiable a un segmento de red específico utilizado para administrar y operar la red, y luego usó ese acceso a la red para ejecutar comandos de administración legítimos y específicos en una gran cantidad de módems domésticos simultáneamente. .»

AcidRain es el séptimo malware de borrador único asociado con la actual invasión rusa de Ucrania. Guerrero-Saade y van Amerongen dijeron que AcidRain es un ejecutable para MIPS, la arquitectura de hardware para los módems utilizados por los clientes de Viasat. El malware se subió a VirusTotal desde Italia y se llamó «ukrop».

«A pesar de lo que nos ha enseñado la invasión de Ucrania, el malware de limpieza es relativamente raro», escriben los investigadores. «Aún más malware de limpieza dirigido a enrutadores, módems o dispositivos IoT».

Los investigadores pronto encontraron similitudes de desarrollo «no triviales» pero en última instancia «no concluyentes» entre AcidRain y un «dstr», el nombre de un módulo de limpieza para VPNFilter. Las similitudes incluían una similitud de código del 55 por ciento medida por una herramienta llamada TLSH, tablas de cadenas de encabezado de sección idénticas y «almacenar el número de llamada al sistema anterior en una ubicación global antes de una nueva llamada al sistema».

«En este momento, no podemos decir si se trata de una optimización común del compilador o de una peculiaridad del desarrollador», dijeron los investigadores.

Un misterio resuelto, quedan más

La declaración de Viasat muestra que la especulación fue acertada.

La descripción general de Viasat del miércoles dijo que los piratas informáticos detrás del ataque destructivo obtuvieron acceso no autorizado a un segmento de administración de confianza de la red KA-SAT de la compañía al explotar una VPN mal configurada. Luego, los piratas expandieron su alcance a otros segmentos, lo que les permitió «ejecutar comandos administrativos legítimos y específicos en una gran cantidad de módems domésticos simultáneamente». Específicamente, estos comandos destructivos sobrescribieron datos clave en la memoria flash de los módems, haciendo que los módems fueran inaccesibles para la red, pero no permanentemente inutilizables».

Aún no está claro cómo los atacantes obtuvieron acceso a la VPN.

También el jueves, el investigador de seguridad independiente Rubén Santamarta publicó un análisis que descubrió múltiples vulnerabilidades en parte del firmware que se ejecuta en las terminales SATCOM comprometidas en el ataque. Uno fue un error en la validación criptográfica del nuevo firmware antes de la instalación. Otra razón es «varias vulnerabilidades de inyección de comandos que pueden ser explotadas de manera trivial por un ACS malicioso».

ACS parece referirse a un mecanismo conocido como servidor de configuración automática que se encuentra en un protocolo utilizado por los módems.

“No digo que los atacantes hayan abusado de estos problemas, pero ciertamente no se ve bien”, escribió Santamarta. «Esperemos que estas vulnerabilidades ya no estén presentes en el último firmware de Viasat, de lo contrario sería un problema».

Obviamente, la desactivación de los módems de Viasat todavía rodea muchos misterios. Pero confirmar que AcidRain fue la carga útil responsable es un gran avance.

«Me alegra que Viasat esté de acuerdo con nuestros hallazgos sobre AcidRain», escribió Guerrero-Saade en un mensaje privado. “Espero que puedan compartir más de sus ideas. En este caso, hay mucho más por descubrir”.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí