La cyberattaque visant Viasat qui a temporairement mis hors ligne les modems KA-SAT le 24 février 2022, le jour même où les forces militaires russes ont envahi l’Ukraine, aurait été la conséquence d’un logiciel malveillant d’essuie-glace, selon le dernières recherches de SentinelOne.
Les conclusions interviennent alors que la société de télécommunications américaine a révélé qu’elle était la cible d’une « cyberattaque multiforme et délibérée » contre son réseau KA-SAT, le reliant à une « intrusion de réseau au sol par un attaquant exploitant une mauvaise configuration dans un appareil VPN pour gagner accès à distance au segment de gestion de confiance du réseau KA-SAT. »
Après avoir obtenu l’accès, l’adversaire a émis des « commandes destructrices » sur des dizaines de milliers de modems appartenant au service haut débit par satellite qui « ont écrasé les données clés dans la mémoire flash des modems, rendant les modems incapables d’accéder au réseau, mais pas définitivement inutilisables ».
Mais SentinelOne a déclaré avoir découvert un nouveau logiciel malveillant le 15 mars qui jette un nouvel éclairage sur l’ensemble de l’incident – un compromis de la chaîne d’approvisionnement du mécanisme de gestion KA-SAT pour fournir l’essuie-glace, surnommé Pluie acideaux modems et aux routeurs et obtenir une perturbation évolutive.
AcidRain est conçu comme un exécutable MIPS ELF 32 bits qui « effectue un nettoyage en profondeur du système de fichiers et de divers fichiers de périphériques de stockage connus », ont déclaré les chercheurs Juan Andres Guerrero-Saade et Max van Amerongen. « Si le code s’exécute en tant que root, AcidRain effectue un écrasement et une suppression récursifs initiaux des fichiers non standard dans le système de fichiers. »
Une fois le processus d’effacement terminé, l’appareil est redémarré pour le rendre inutilisable. Cela fait d’AcidRain la septième souche d’essuie-glace découverte depuis le début de l’année en lien avec la guerre russo-ukrainienne après WhisperGate, MurmureKillHermeticWiper, IsaacWiper, CaddyWiper et DoubleZero.
Une analyse plus approfondie de l’échantillon d’essuie-glace a également révélé un chevauchement de code « intéressant » avec un plugin de troisième étape (« dstr ») utilisé dans des attaques impliquant une famille de logiciels malveillants appelée VPNFilter, qui a été attribuée au groupe russe Sandworm (alias Voodoo Bear).
Fin février 2022, les agences de renseignement du Royaume-Uni et des États-Unis ont révélé un successeur à VPNFilter, appelant le framework de remplacement Cyclops Blink.
Cela dit, on ne sait toujours pas comment les acteurs de la menace ont eu accès au VPN. Dans un communiqué partagé avec Ars Technica, Viasat confirmé que des logiciels malveillants destructeurs de données ont en effet été déployés sur des modems à l’aide de commandes de « gestion légitimes », mais s’est abstenu de partager plus de détails en citant une enquête en cours.