Viasat-modems voor satellietinternet werden getroffen door wipermalware

Viasat heeft bevestigd dat modems voor zijn KA-SAT-dienst voor satellietinternet in februari zijn getroffen door AcidRain. Dat is een pas ontdekte wipermalware die is ontworpen om bestanden te verwijderen.

De aanval met AcidRain is uiteengezet door onderzoekers van SentinelLabs en de bevindingen zijn later bevestigd door Viasat. Dat deed het bedrijf tegenover Bleeping Computer. AcidRain werd op 15 maart ontdekt, nadat een sample van de malware vanaf een Italiaans IP-adres geüpload werd naar VirusTotal. De AcidRain-malwaresample op VirusTotal had de naam 'ukrop'. De hypothese van SentinalLabs is dat dit voor 'Ukraine Operation' staat, maar toch zeggen de onderzoekers dat dit niet is bevestigd.

Viasat schreef eerder deze week dat zijn netwerk getroffen is via een verkeerd geconfigureerd vpn-toestel, waarna hackers toestemming kregen tot het trustmanagementsegment van het KA-SAT-netwerk van Viasat. Die toegang werd gebruikt om een 'destructieve executable' uit te voeren op de modems, met een 'legitiem beheercommando', zo stelt Viasat.

Die destructieve executable is dus AcidRain, zo schrijft SentinelLabs, die ook de werking van de wipermalware uiteenzet. De malware voert een wipe van het bestandssysteem en mogelijke aangesloten opslagapparaten uit op de modems van gebruikers. Vervolgens probeert AcidRain de bestanden op verschillende opslagapparaten te vernietigen. De malware probeert daarvoor verschillende opslagmedia te benaderen. Hierna wordt de modem opnieuw opgestart, waarna die onbruikbaar is.

De identiteit van de daders is nog niet bekend, schrijven de onderzoekers van SentinelLabs. De aanval op het Viasat-netwerk viel samen met het begin van de Russische invasie in Oekraïne, op 24 februari. De aanval werd gericht op de grondinfrastructuur van het KA-SAT-netwerk van Viasat, dat satellietinternet verleent aan Europese klanten. Sinds het begin van de oorlog zijn er meerdere aanvallen met wipermalware uitgevoerd op Oekraïne. AcidRain is daar het zevende voorbeeld van, schrijft SentinelLabs. Analisten van Amerikaanse inlichtingendiensten zouden eerder geconcludeerd hebben dat Rusland achter de aanval op Viasat zat, vertelden bronnen aan The Washington Post.

Opslagmedia die het doelwit zijn van AcidRain (via SentinelLabs)
Apparaat Beschrijving
/dev/sd* Een generiek blockdevice
/dev/mtdblock* Flashgeheugen (veelvoorkomend in routers en iot-apparaten)
/dev/block/mtdblock* Een andere mogelijke manier om flashgeheugen te benaderen
/dev/mtd* Het apparaatbestand voor flashgeheugen dat fileops ondersteunt
/dev/mmcblk* Voor SD- of MMC-kaarten
/dev/block/mmcblk* Een andere manier om AD- of MMC-kaarten te benaderen
/dev/loop* Virtuele blockdevices

Door Daan van Monsjou

Redacteur

Feedback • 01-04-2022 13:0312

01-04-2022 • 13:03

12 Linkedin

Lees meer

Internetsatellieten en ruzie met Rusland
Internet

22 mrt 2022

Internetsatellieten en ruzie met Rusland

SpaceX ziet kansen, OneWeb in lastig parket

21
Volvo- en Polestar-moederbedrijf lanceert satellieten voor zelfrijdende auto's Nieuws van 3 juni 2022
Onderzoekers: elf Android-apps verzamelden data van miljoenen gebruikers Nieuws van 7 april 2022
Washington Post: Rusland zat volgens VS achter cyberaanval op Viasat-internet Nieuws van 25 maart 2022
Musk waarschuwt Starlink-antennes in Oekraïne 'ver weg van mensen' te gebruiken Nieuws van 4 maart 2022
Elon Musk: Starlink-internet is nu beschikbaar in Oekraïne - update Nieuws van 27 februari 2022
'Oekraïne roept Oekraïense hackers op te helpen bij zijn cyberveiligheid' Nieuws van 25 februari 2022
Hackers vallen websites Oekraïense ministeries aan en plaatsen dreigboodschap Nieuws van 14 januari 2022
Satellietbedrijf Viasat neemt concurrent Inmarsat over voor 7,3 miljard dollar Nieuws van 9 november 2021
Meer producten en artikelen
Internettoegang Beveiliging en antivirus Economie en maatschappij Hackers Malware Satelliet

Reacties (12)

-Moderatie-faq
12
11
8
0
0
1
Wijzig sortering
Snow_King
1 april 2022 13:31
De malwares zelf zijn eigenlijk allemaal zo super simpel, onder Linux kan het volgende je systeem al helemaal onbruikbaar maken:
dd if=/dev/zero of=/dev/sda bs=1M count=100
reboot
Voila, Linux systeem gaat niet meer opstarten. Malware gelukt!

De truc is de commando's kunnen uitvoeren op al die systemen. Dat kost meer tijd en is gewoon lastig(er), maar als het eenmaal lukt ben je heerser van die systemen en is deze aanval in een paar minuten gedaan.
Blokker_1999
@Snow_King1 april 2022 14:10
kan korter hoor:

rm -rf /*

Merk het * op, daarmee gaat rm alsnog aan de slag, het is enkel als je / hebt dat deze gaat weigeren tenzij je --no-preserve-root meegeeft als argument.
Anoniem: 1733082
@Blokker_19992 april 2022 03:25
Met als mogelijk belangrijk verschil dat dd daadwerkelijk alle bits overschrijft en data recovery onmogelijk maakt. SDA geheel overschrijven met nullen verwijdert de complete partitie tabel waarmee je in principe het opslagmedium uit het apparaat verwijdert. Het duurt langer dan simpelweg alle bestanden verwijderen maar het maakt reparatie een stuk lastiger.
rob12424
@Snow_King1 april 2022 15:50
Dat klopt enerzijds. Linux is heel erg veilig. Maar wel modulair veilig. Er zijn zelfs IDS systemen die de paden veranderen dus bijvoorbeeld /dev/ wordt dan ineens /cfg/ mocht een systeem dan van buitenaf benaderd worden dan zien mensen en ook virussen door de bomen het bos niet meer.
Natuurlijk draai je niet duizenden programma's met afhankelijkheden daarop want alles moet ook overnieuw gekoppeld worden.

Maar normaal gesproken zou een Linux device bepaalde rechten hebben of zoiets als apt-armor of SE-Linux. Maar bij embedded devices wil er nog wel eens ruimte/batterij gebrek zijn en wat er dan juist als eerste vaak overboord gaat bij het ontwerp is de beveiliging 8)7 :X
The Zep Man
@Snow_King1 april 2022 14:37
De malwares zelf zijn eigenlijk allemaal zo super simpel, onder Linux kan het volgende je systeem al helemaal onbruikbaar maken:
dd if=/dev/zero of=/dev/sda bs=1M count=100
dd: failed to open '/dev/sda': Permission denied
Zoals het hoort.

[Reactie gewijzigd door The Zep Man op 1 april 2022 14:38]

Snow_King
@The Zep Man1 april 2022 19:54
Ok, je hebt root toegang nodig, maar daarna is het hele simpele malware :-)
Muncher
1 april 2022 13:30
UKROP kan ook staan voor:

- Ukrainian Association of Patriots (partij die nu niet meer bestaat, maar op is gegaan in de Servant of the People party (de party van de huidige president Zelensky)
- Slang van Russen om Oekraïners mee aan te duiden

Bron: https://en.wikipedia.org/wiki/UKROP

Edit: voordat iedereen nu gaat roepen "Ja maar UKROP kan ook staan voor X, Y, Z": deze informatie komt uit het bron artikel waar Tweakers naar refereert. Ik vond het handig om het hier te melden omdat het de context waarbinnen deze malware is gebruikt kan duiden.

[Reactie gewijzigd door Muncher op 1 april 2022 14:00]

Zer0
@Muncher1 april 2022 13:44
Bobby Ukrop is Chairman and C.E.O. of Ukrop’s Homestyle Foods, a producer of premium-quality, chilled prepared foods and baked goods for food retailers in Virginia and adjacent states. He serves as Co-Chair of Ukrop’s Threads which provides uniforms and corporate apparel to large food retailers, theme parks, and convenience stores across the nation.

Ukrop kan voor van alles staan..

[Reactie gewijzigd door Zer0 op 1 april 2022 13:45]

vinkjb
@Muncher1 april 2022 13:58
Kan dan ook Engels zijn als UK met Oekraine associeert
kvandijck
2 april 2022 08:48
Waarom zou het rootfs schrijfbaar moeten zijn op linux. Dat rol ik nooit zo uit voor embedded devices.
tweaknico
2 april 2022 20:11
En hoe goed zijn de IFTTT servers beveiligd?.... en de Hue servers, en de.Nest servers, de Ring servers.... alle buiten de deur servers die huizen bedienen?.. (Wie is de eigenaar van de servers? wie is eigenaar ven de DC's waar de servers staan?).

Allemaal zaken die nu een stuk belangrijker worden dan BLIND vertrouwen dat iets wel goed geregeld zal zijn want... commerciele partij..

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee