Dezenas de milhares de modems de banda larga via satélite Viasat que foram desativados em um ataque cibernético algumas semanas atrás foram apagados por malware com possíveis links para o VPNFilter destrutivo da Rússia, de acordo com o SentinelOne.
Em 24 de fevereiro, quando as tropas russas invadiram a Ucrânia, os terminais da Viasat na Europa e na Ucrânia foram repentina e inesperadamente desligados e inoperantes. Isso fez com que, entre outras coisas, milhares de turbinas eólicas na Alemanha perdessem a conectividade com a Internet via satélite necessária para monitoramento e controle remoto.
No início desta semana, a Viasat forneceu alguns detalhes sobre a interrupção: culpou um dispositivo VPN mal configurado, que permitiu que um criminoso acessasse um segmento de gerenciamento confiável da rede de satélite KA-SAT da Viasat.
O provedor de banda larga disse que esse intruso explorou sua rede interna até conseguir instruir os modems dos assinantes a substituir seu armazenamento flash, exigindo uma redefinição de fábrica para restaurar o equipamento. Nós fomos avisados:
O invasor se moveu lateralmente por essa rede de gerenciamento confiável para um segmento de rede específico usado para gerenciar e operar a rede e, em seguida, usou esse acesso à rede para executar comandos de gerenciamento legítimos e direcionados em um grande número de modems residenciais simultaneamente. Especificamente, esses comandos destrutivos sobrescreveram dados importantes na memória flash nos modems, tornando os modems incapazes de acessar a rede, mas não permanentemente inutilizáveis.
Como exatamente esses modems tiveram sua memória substituída não foi dito. De acordo com o braço de pesquisa do SentinelOne, no entanto, pode ter sido um malware de limpeza implantado nos dispositivos como uma atualização de firmware maliciosa do back-end comprometido da Viasat. Esta conclusão foi baseada em um binário MIPS ELF de aparência suspeita chamado “ukrop” que foi carregado no VirusTotal em 15 de março.
“Somente os responsáveis pelo incidente no caso Viasat poderiam dizer definitivamente se esse era de fato o malware usado neste incidente em particular”, escreveram Juan Andres Guerrero-Saade e Max van Amerongen, da SentinelOne, na quinta-feira.
Depois de analisar a explicação “um tanto plausível, mas incompleta” da Viasat sobre o ataque cibernético, os dois pesquisadores chegaram a esta hipótese:
O agente da ameaça usou o mecanismo de gerenciamento KA-SAT em um ataque à cadeia de suprimentos para enviar um limpador projetado para modems e roteadores. Um limpador para esse tipo de dispositivo sobrescreveria dados importantes na memória flash do modem, tornando-o inoperante e precisando ser atualizado ou substituído.
A Viasat não forneceu indicadores técnicos de comprometimento nem um relatório completo de resposta a incidentes, observaram os pesquisadores. Em vez disso, a empresa de satélites disse que comandos maliciosos interromperam os modems na Ucrânia e em outros países europeus. A dupla SentinelOne questionou como comandos legítimos poderiam causar esse nível de caos no modem. “A interrupção escalável é alcançada de maneira mais plausível ao enviar uma atualização, script ou executável”, disseram os pesquisadores.
Eles sugerem que o executável ukrop, que eles apelidaram de AcidRain, poderia fazer o truque.
E acontece que o laboratório do SentinelOne estava correto. Em um comunicado, a Viasat disse que a hipótese dos pesquisadores era “consistente com os fatos em nosso relatório… O SentinelLabs identifica o executável destrutivo que foi executado nos modems usando um comando de gerenciamento legítimo, conforme descrito anteriormente pela Viasat”.
Assim, por comandos destrutivos, Viasat quis dizer: os modems foram comandados por seus servidores de suporte comprometidos para executar malware destrutivo.
Uma vez enviado e executado em um modem SATCOM, o AcidRain adotou uma abordagem de força bruta para limpar a memória de armazenamento de um dispositivo. SentinelOne disse que isso poderia significar que quem implantou o software desagradável não estava 100% certo do layout do firmware nos gateways Viasat – ou eles queriam manter o AcidRain genérico o suficiente para que pudessem reutilizá-lo em outros equipamentos sem muita ou qualquer modificação.
“Se o código estiver sendo executado como root, o AcidRain executa uma substituição recursiva inicial e a exclusão de arquivos não padrão no sistema de arquivos”, escreveram Guerrero-Saade e van Amerongen.
Em seguida, o AcidRain tentou destruir dados em quaisquer cartões SD, memória flash, dispositivos de bloco virtual e outros recursos presentes. Ele gravou até 262.144 bytes em cada arquivo de dispositivo para destruir seus dados ou usou uma chamada de sistema para operações de entrada/saída específicas do dispositivo para apagar informações.
Por fim, o malware executou uma chamada de sistema fsync para garantir que suas alterações fossem confirmadas. AcidRain reiniciou o dispositivo assim que concluiu seus processos de limpeza de dados, e “isso resulta no dispositivo ficando inoperante”, escreveram os pesquisadores.
Isso torna o AcidRain o sétimo limpador publicamente conhecido associado à invasão russa da Ucrânia. Deixando de lado a história recente, o malware limpador é raro, e os limpadores voltados para roteadores, modems ou dispositivos IoT são ainda mais incomuns, disse a equipe do SentinelOne.
Conexão VPNFilter?
Há uma exceção notável, no entanto, e esse é o malware VPNFilter de 2018 desenvolvido pela equipe Sandworm ligada ao Kremlin. Descoberto pela unidade Talos da Cisco, este software visava roteadores e dispositivos de armazenamento desagradáveis.
“A razão pela qual trazemos o espectro do VPNFilter não é por causa de suas semelhanças superficiais com o AcidRain, mas sim por causa de uma sobreposição de código interessante (mas inconclusiva) entre um plug-in específico do VPNFilter e o AcidRain”, escreveu o casal SentinelOne.
A biblioteca de correspondência de hash difuso tlsh colocou o plug-in VPNFilter e a semelhança de amostra AcidRain em 55%. Além disso, VPNFilter e AcidRain são binários MIPS ELF, e “a maior parte de seu código compartilhado parece derivar de libc vinculada estaticamente”, explicou a loja de segurança, acrescentando que o malware também pode compartilhar um compilador. Além disso, ambos usam chamadas de sistema MEMGETINFO, MEMUNLOCK e MEMERASE para apagar arquivos de dispositivo mtd. O AcidRain visa claramente dispositivos com sabor de Linux alimentados por processadores MIPS.
VPNFilter e AcidRain têm “diferenças notáveis”, escreveram os pesquisadores do SentinelOne. AcidRain “parece ser um produto muito mais desleixado que não atinge consistentemente os padrões de codificação do anterior”, disseram Guerrero-Saade e van Amerongen, observando a repetição do binário mais recente e o uso redundante de bifurcação de processos.
Enquanto o AcidRain usou força bruta, o que pode permitir que ele seja reutilizado com sucesso em vários modelos de dispositivos, o VPNFilter adotou uma abordagem mais direcionada para dispositivos com caminhos codificados.
“Embora não possamos vincular definitivamente o AcidRain ao VPNFilter (ou ao maior cluster de ameaças Sandworm), observamos uma avaliação de confiança média de semelhanças de desenvolvimento não triviais entre seus componentes”, concluíram os pesquisadores.
Eles também pediram a outros pesquisadores de segurança que “continuassem a contribuir com suas descobertas no espírito de colaboração que permeou o setor de inteligência de ameaças no mês passado”.
Fonte: The Register
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
