Gli esperti di sicurezza di SentinelLabs hanno isolato il nuovo malware wiper utilizzato anche nell‘attacco cyber a Viasat, denominato AcidRain mirato contro router e modem. Ora si conoscono i dettagli dell’elemento veicolo di attacco, che ha messo fuori combattimento le turbine eoliche in Germania. Considerato per ora il più importante attacco informatico nell’attuale scenario di invasione russa dell’Ucraina, quello a Viasat ha coinvolto anche l’Italia per via dell’amministrazione di Eutalsat operata dall’italiana Skylogic.
Indice degli argomenti
Come è avvenuto l’attacco a Viasat
Secondo i ricercatori di malware Juan Andres Guerrero-Saade e Max van Amerongen, si ritiene che l’ultimo wiper, soprannominato AcidRain, faccia parte di un attacco alla catena di approvvigionamento più significativo mirato a distruggere il servizio Internet satellitare di Viasat.
Viasat ha dichiarato in una nota ufficiale che l’attacco informatico è stato organizzato su due fronti, contro la sua rete KA-SAT e ha provocato la sovrascrittura di comandi software dannosi nella memoria interna del modem, rendendo inutilizzabili decine di migliaia di modem/router in tutta Europa. Secondo le fonti pubblicate, il blackout di Viasat, avvenuto subito dopo che la Russia fatto partire l’invasione dell’Ucraina (il 24 febbraio), ha interrotto il servizio modem sia in Francia che in Italia, gestita per conto di Viasat dall’italiana Skylogic (azienda del gruppo Eutelsat) e ha persino fermato le turbine eoliche in Germania.
Dopo diversi giorni di offline per i servizi Viasat, la società ha comunicato che il suo intervento è stato composto in parte da sostituzione fisica dei modem/router infettati e in parte da un reset con reinstallazione completa del firmware.
I ricercatori di SentinelLab precisano che le indagini sull’incidente e sulla scoperta del nuovo wiper sono ancora in divenire. Ma hanno diverse prove tra cui sovrapposizioni di codice e altri test che collegano il malware all’attacco contro il colosso della rete satellitare. I ricercatori hanno definito la risposta pubblica di Viacom “incompleta” e hanno affermato che il loro studio tecnico ha rivelato parallelismi con gli attuali attacchi malware VPNFilter collegati a un noto gruppo APT (Sandworm) riconducibile direttamente governo russo, come riportato dall’FBI stessa.
Le indagini sul wiper AcidRain
“Valutiamo con media certezza che ci sono somiglianze di sviluppo tra AcidRain e un plugin distruttivo di fase 3 VPNFilter. Nel 2018, l’FBI e il Dipartimento di giustizia hanno attribuito la campagna VPNFilter al governo russo”, affermano i ricercatori di SentinelLabs.
Notando che AcidRain è il settimo virus wiper correlato all’invasione russa dell’Ucraina, il team di SentinelLabs ha dichiarato che il file sospetto è stato inviato il 15 marzo al servizio multi-scanner VirusTotal dall’Italia con il nome “ukrop“, riconosciuto dannoso da 29 vendors su 61. Si tratta di un file binario ELF e benché il nome del file può lasciare spazio a diverse interpretazioni, l’analisi in questione di SentinelLabs è stata riconosciuta come coerente dalla stessa Viasat, che lo ha confermato pubblicamente.
Come funziona il wiper AcidRain
La funzionalità di AcidRain è piuttosto semplice e richiede un tentativo di forza bruta, il che potrebbe indicare che gli aggressori non erano a conoscenza delle specifiche del firmware di destinazione o hanno voluto effettivamente che lo strumento dannoso rimanesse generico e riutilizzabile in altri attacchi futuri.
Il malware cancella completamente il filesystem e tutti i vari file del dispositivo di archiviazione su cui atterra. AcidRain esegue una sovrascrittura ricorsiva iniziale e rimuove i file non standard nel filesystem se il codice viene eseguito come root.
Ecco la funziona ricorsiva (immagine di SentinelLabs):
Al termine di questo processo, il wiper è impostato per far avviare il comando /bin/reboot e sarà effettivamente l’ultimo riavvio che il dispositivo effettuerà, prima di una manuale manutenzione, in quanto reso completamente inutilizzabile. Da questo momento si ha la certezza che il dispositivo sia disconnesso dalla rete satellitare e non fornisca più il servizio di connettività alla rete con la quale è collegato.
Per quanto a posteriori ormai Viasat escluda con certezza una compromissione della supply chain aziendale, le dimensioni e le ramificazioni del colosso in tutta Europa, hanno destato non poca preoccupazione anche ai ricercatori di SentinelLabs, che di fatto hanno battezzato questo attacco, come il più importante e sofisticato da quando è iniziata l’escalation cyber dell’invasione cinetica ucraina.
Valuta la qualità di questo articolo
La tua opinione è importante per noi!
Iscriviti alla newsletter per ricevere articoli di tuo interesse
Prendi visione dell'Informativa Privacy e, se vuoi, seleziona la casella di consenso.