Viasat – le fournisseur de large bande par satellite à haut débit dont les modems sont tombés en panne en Ukraine et dans d’autres parties de l’Europe début mars – a confirmé une théorie de chercheurs tiers selon laquelle un nouveau logiciel malveillant d’essuie-glace avec des liens possibles avec le gouvernement russe était responsable de l’attaque .
Dans un rapport publié jeudi, les chercheurs de SentinelOne ont déclaré avoir découvert le nouvel essuie-glace du modem et l’ont baptisé AcidRain. Les chercheurs ont déclaré qu’AcidRain partageait plusieurs similitudes techniques avec des parties de VPNFilter, un logiciel malveillant qui a infecté plus de 500 000 modems domestiques et de petites entreprises aux États-Unis. Plusieurs agences gouvernementales américaines – d’abord le FBI, puis des organisations telles que la National Security Agency – ont attribué le logiciel malveillant du modem aux acteurs de la menace étatique russe.
Entrez ukrop
Les chercheurs de SentinelOne Juan Andres Guerrero-Saade et Max van Amerongen ont postulé qu’AcidRain a été utilisé dans une cyberattaque qui a saboté des milliers de modems utilisés par les clients de Viasat. Parmi les indices qu’ils ont trouvés, il y avait le nom « ukrop » pour l’un des binaires sources d’AcidRain.
Alors que SentinelOne a déclaré qu’il ne pouvait pas être sûr que sa théorie était correcte, les responsables de Viasat n’ont pas tardé à dire que la théorie était correcte. Viasat a également déclaré que le résultat concordait avec un bref résumé publié mercredi par la société.
Viasat a écrit :
L’analyse du rapport SentinelLabs concernant le binaire ukrop est cohérente avec les faits de notre rapport – plus précisément, SentinelLabs identifie l’exécutable destructeur qui a été exécuté sur les modems à l’aide d’une commande administrative légitime, comme Viasat l’a décrit précédemment. Comme indiqué dans notre rapport : « L’attaquant s’est déplacé latéralement à travers ce réseau de gestion de confiance vers un segment de réseau spécifique utilisé pour gérer et exploiter le réseau, puis a utilisé cet accès au réseau pour exécuter des commandes de gestion légitimes et ciblées sur un grand nombre de modems domestiques simultanément. .”
AcidRain est le septième programme malveillant à essuie-glace unique associé à l’invasion en cours de l’Ukraine par la Russie. Guerrero-Saade et van Amerongen ont déclaré qu’AcidRain est un exécutable pour MIPS, l’architecture matérielle des modems utilisés par les clients de Viasat. Le logiciel malveillant a été téléchargé sur VirusTotal depuis l’Italie et a été nommé « ukrop ».
« Malgré ce que l’invasion de l’Ukraine nous a appris, les logiciels malveillants d’essuie-glace sont relativement rares », écrivent les chercheurs. « Encore plus de logiciels malveillants d’effacement ciblant les routeurs, les modems ou les appareils IoT. »
Les chercheurs ont rapidement trouvé des similitudes de développement « non triviales » mais finalement « non concluantes » entre AcidRain et un « dstr », le nom d’un module d’effacement pour VPNFilter. Les similitudes comprenaient une similitude de code de 55% mesurée par un outil appelé TLSH, des tables de chaînes d’en-tête de section identiques et « le stockage du numéro d’appel système précédent dans un emplacement global avant un nouvel appel système ».
« Pour le moment, nous ne pouvons pas dire s’il s’agit d’une optimisation courante du compilateur ou d’une bizarrerie de développeur », ont déclaré les chercheurs.
Un mystère résolu, il en reste d’autres
La déclaration de Viasat montre que la spéculation était juste.
L’aperçu Viasat de mercredi a déclaré que les pirates à l’origine de l’attaque destructrice avaient obtenu un accès non autorisé à un segment de gestion de la confiance du réseau KA-SAT de l’entreprise en exploitant un VPN mal configuré. Les pirates ont ensuite étendu leur portée à d’autres segments, leur permettant « d’exécuter simultanément des commandes administratives légitimes et ciblées sur un grand nombre de modems domestiques ». Plus précisément, ces commandes destructrices ont écrasé les données clés dans la mémoire flash des modems, rendant les modems inaccessibles au réseau, mais pas définitivement inutilisables. »
La manière dont les attaquants ont eu accès au VPN n’est toujours pas claire.
Jeudi également, le chercheur indépendant en sécurité Ruben Santamarta a publié une analyse qui a révélé de multiples vulnérabilités dans certains des micrologiciels exécutés sur les terminaux SATCOM compromis lors de l’attaque. L’un était un bogue dans la validation cryptographique du nouveau micrologiciel avant l’installation. Une autre raison est « plusieurs vulnérabilités d’injection de commande qui peuvent être exploitées de manière triviale par un ACS malveillant ».
ACS semble faire référence à un mécanisme appelé serveur d’autoconfiguration présent dans un protocole utilisé par les modems.
« Je ne dis pas que ces problèmes ont été abusés par les attaquants, mais cela n’a certainement pas l’air bien », a écrit Santamarta. « Espérons que ces vulnérabilités ont disparu dans le dernier firmware Viasat, sinon ce serait un problème. »
Évidemment, la désactivation des modems Viasat entoure encore bien des mystères. Mais confirmer qu’AcidRain était la charge utile responsable est une avancée majeure.
« Je suis content que Viasat soit d’accord avec nos conclusions sur AcidRain », a écrit Guerrero-Saade dans un message privé. « J’espère qu’ils pourront partager davantage leurs idées. Dans ce cas, il y a beaucoup plus à découvrir.