A interrupção massiva da Internet via satélite Viasat no mês passado estava ligada a um malware capaz de limpar dados de modems e roteadores.
A empresa de segurança cibernética SentinelOne diz que detectou uma amostra de malware que provavelmente foi usada durante o hack da Viasat em 24 de fevereiro, que interrompeu o serviço de internet. O malware, apelidado de AcidRain, é um programa executável Unix projetado para direcionar dispositivos construídos na arquitetura MIPS.
O SentinelOne notou o malware depois que uma amostra do AcidRain foi carregada no serviço de detecção de malware VirusTotal em 15 de março. A mesma amostra veio da Itália, onde também está sediada a SkyLogic, operadora da Viasat que gerencia a rede afetada. Além disso, a amostra de malware foi marcada com o nome “ukrop”, uma possível referência à Operação Ucrânia.
O SentinelOne também examinou o AcidRain e descobriu que ele pode realizar uma “limpeza profunda do sistema de arquivos e vários arquivos em dispositivos de armazenamento conhecidos” em um modem infectado. O malware acionará uma reinicialização, tornando o dispositivo inoperante.
A empresa de segurança divulgou o relatório um dia depois que a Viasat forneceu mais detalhes sobre o apagão de 24 de fevereiro, que ocorreu no momento em que a Rússia começou a invadir a Ucrânia. A interrupção fez com que milhares de usuários na Ucrânia e dezenas de milhares em toda a Europa perdessem temporariamente o acesso à Internet.
A investigação da Viasat descobriu que os hackers por trás do incidente exploraram um dispositivo VPN mal configurado para obter acesso remoto à infraestrutura de Internet via satélite e, em seguida, usaram “comandos de gerenciamento específicos e legítimos” em um grande número de modems para desconectá-los.
No entanto, a investigação da Viasat não mencionou nenhum malware de limpeza de dados. Em vez disso, o relatório da empresa apontou para “comandos destrutivos” que sobrescreveram dados importantes na memória flash dos modems afetados, tornando-os inutilizáveis.
Ainda assim, a Viasat não nega as descobertas da SentinelOne sobre o AcidRain. Em um comunicado, o provedor de internet via satélite disse: “A análise no relatório do SentinelLabs sobre o binário ukrop é consistente com os fatos em nosso relatório; especificamente, o SentinelLabs identifica o executável destrutivo que foi executado nos modems usando um comando de gerenciamento legítimo, como o Viasat. descrito anteriormente.”
Não está claro por que a Viasat não mencionou a presença do malware de limpeza de dados, mas observou: “Devido à investigação em andamento e para garantir a segurança de nossos sistemas contra ataques contínuos, não podemos compartilhar publicamente detalhes forenses completos de o evento. . Por meio desse processo, temos cooperado e continuamos a cooperar com vários órgãos governamentais e policiais em todo o mundo, que tiveram acesso aos detalhes do evento”.
AcidRain representa pelo menos a sétima variedade de malware de limpeza de dados para atacar sistemas de TI relacionados à Ucrânia. Os ataques atingiram várias empresas no país desde antes e durante a invasão russa.
O relatório do SentinelOne observou que o AcidRain tem algumas semelhanças com outra variedade de malware de 2018 chamada VPNFilter, que os americanos suspeitam vir de hackers patrocinados pelo estado russo. “Avaliamos com confiança média que existem semelhanças de desenvolvimento entre o AcidRain e um plug-in destrutivo de estágio 3 do VPNFilter”, acrescentou SentinelOne. A inteligência dos EUA também suspeita que o ataque à Viasat veio de espiões militares russos.