Se cree que el ciberataque dirigido a la empresa de telecomunicaciones de los Estados Unidos Viasat que desconectó temporalmente los módems KA-SAT el 24 de febrero de 2022, el mismo día en que las fuerzas militares rusas invadieron Ucrania, fue consecuencia de un malware de limpieza, según la última investigación de la empresa de seguridad SentinelOne.
Los hallazgos se dan, un día después de que la compañía de telecomunicaciones revelara que fue el objetivo de un ataque cibernético multifacético y deliberado contra su red KA-SAT, vinculándolo a una "intrusión en la red terrestre por parte de un atacante que explota una configuración incorrecta en un dispositivo VPN (Red Privada Virtual) para obtener acceso remoto al segmento de gestión de confianza de la red KA-SAT".
Al obtener acceso, el adversario emitió "comandos destructivos" en decenas de miles de módems pertenecientes al servicio de banda ancha satelital que "sobre escribieron datos clave en la memoria flash de los módems, lo que hizo que los módems no pudieran acceder a la red, pero no permanentemente inutilizables".
Pero SentinelOne dijo que descubrió una nueva pieza de malware (llamada "ukrop") el 15 de marzo que proyecta todo el incidente bajo una nueva manera, un compromiso en la cadena de suministro del mecanismo de gestión KA-SAT para entregar el virus, denominado en este caso AcidRain, a la módems y enrutadores y lograr una disrupción escalable.
AcidRain está diseñado como un archivo ejecutable MIPS ELF de 32 bits que "realiza un borrado en profundidad del sistema de archivos y varios archivos de dispositivos de almacenamiento conocidos", dijeron los investigadores informáticos Juan Andres Guerrero-Saade y Max van Amerongen. "Si el código se ejecuta como raíz, AcidRain realiza una sobre escritura recursiva inicial y elimina los archivos no estándar en el sistema de archivos".
Una vez que se completa el proceso de limpieza, el dispositivo se reinicia para dejarlo inoperable. Esto convierte a AcidRain en la séptima version de virus descubierta desde principios de año en relación con la guerra ruso-ucraniana después de WhisperGate, WhisperKill, HermeticWiper, IsaacWiper, CaddyWiper y DoubleZero.
Un análisis más detallado de la muestra del virus también ha descubierto una superposición de código "interesante" con un complemento de tercera etapa ("dstr") utilizado en ataques que involucran una familia de malware llamada VPNFilter, que se ha atribuido al grupo Russian Sandworm (también conocido como Voodoo Bear).
A fines de febrero de 2022, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI) revelaron un sucesor de VPNFilter, llamado el marco de reemplazo Cyclops Blink.
Dicho esto, aún no está claro cómo los actores de amenazas obtuvieron acceso a la VPN. En una declaración de la empresa Viasa, se confirmó que el malware de destrucción de datos se implementó en módems utilizando comandos de "gestión legítima".
Esta es la declaración completa de la compañía:
Los hechos proporcionados ayer en el Informe de incidentes de Viasat son precisos. El análisis en el informe de SentinelLabs con respecto al binario 'ukrop' es consistente con los hechos de nuestro informe; específicamente, SentinelLabs identifica el ejecutable destructivo que se ejecutó en los módems utilizando un comando de administración legítimo como lo describió anteriormente Viasat.
Como se indica en nuestro informe: "el atacante se movió lateralmente a través de esta red de administración confiable a un segmento de red específico utilizado para administrar y operar la red, y luego usó este acceso a la red para ejecutar comandos de administración legítimos y específicos en una gran cantidad de módems residenciales simultáneamente. ."
Además, no vemos esto como un ataque o una vulnerabilidad en la cadena de suministro. Como señalamos, "Viasat no tiene evidencia de que el software de módem estándar o la distribución de firmware o los procesos de actualización involucrados en las operaciones normales de la red se hayan utilizado o comprometido en el ataque". Además, "no hay evidencia de que se haya accedido o comprometido ningún dato del usuario final".
Debido a la investigación en curso y para garantizar la seguridad de nuestros sistemas frente a ataques continuos, no podemos compartir públicamente todos los detalles forenses del evento. A través de este proceso, hemos estado y continuamos cooperando con varias agencias gubernamentales y de aplicación de la ley de todo el mundo, que han tenido acceso a los detalles del evento.
Esperamos poder proporcionar detalles forenses adicionales cuando se complete esta investigación.