Le logiciel malveillant AcidRain responsable de l'attaque contre Viasat
Viasat a confirmé avoir identifié le logiciel malveillant responsable de la cyberattaque qui a interrompu les services de l'entreprise en février. Le logiciel malveillant utilisé est provisoirement nommé AcidRain et possède des capacités destructrices.
Viasat, un fournisseur de communications mondial dont le siège est aux États-Unis, a subi des pannes de service en Ukraine et dans plusieurs autres territoires européens fin février 2022. Désormais, des chercheurs de SentinelLabs affirment que c'est le logiciel malveillant AcidRain qui a été utilisé dans l'attaque qui a détruit l'infrastructure Viasat.
AcidRain utilisé dans les attaques précédentes
AcidRain est un binaire Linux conçu pour effacer les équipements réseau, y compris les modems et les routeurs. Les chercheurs pensent que c'est le même malware qui a détruit le matériel de Viasat fin février.
Selon l'équipe de SentinelLabs, il existe certaines similitudes entre AcidRain et un composant du malware VPNFilter. VPNFilter existe depuis un certain temps maintenant, le FBI incitant tous les utilisateurs de routeurs, même ceux à la maison, à redémarrer leurs routeurs à la mi-2018, pour éviter les attaques potentielles de VPNFilter. VPNFilter a ensuite été associé à l'acteur de menace soutenu par l'État russe sous le nom de Fancy Bear ou APT28.
Selon les informations publiées par Viasat lui-même, l'attaque qui a mis le service hors ligne en février s'est concentrée sur une seule partie du réseau KA-SAT de l'entreprise qui est géré et exploité par une filiale.
Un logiciel malveillant réécrit le micrologiciel du routeur
En ce qui concerne la façon dont AcidRain assomme le matériel, Viasat a déclaré que le logiciel malveillant réécrit des parties importantes de la mémoire flash sur les appareils, rendant impossible la communication d'un appareil infecté avec le réseau. Cependant, les dommages ne sont pas permanents et le clignotement avec le micrologiciel d'usine devrait permettre de remettre les unités en ordre.
Il semble que le point d'entrée de l'auteur de la menace dans cette attaque était un point VPN mal configuré. Cela a permis aux pirates d'accéder aux composants de gestion KA-SAT situés sur le réseau.
ZDNet a rapporté que Viasat a confirmé que les données internes de l'entreprise concordaient avec les conclusions de l'équipe de SentinelLabs, à l'exception d'un point : SentinelLabs pense que l'attaque aurait pu être basée sur la chaîne d'approvisionnement, tandis que Viasat affirme que ce n'est pas le cas.
Le logiciel malveillant AcidRain est le dernier d'une série de charges utiles malveillantes destructrices déployées sur le territoire ukrainien depuis le début de l'invasion russe du pays. Les charges utiles précédentes ne se concentraient pas sur l'équipement réseau mais plutôt sur le stockage et l'effacement des données.