zurück zum Artikel

Viasat und SentinelOne haben Details zum Cyberangriff auf KA-Sat veröffentlicht, der hierzulande Windräder lahmlegte. Sie sehen eine Botnetz-Verbindung.

Zehntausende Breitbandmodems, die bei einer Cyberattacke auf den US-Anbieter Viasat und sein KA-Sat-Netz für Satelliteninternet im Februar parallel zum bewaffneten Überfall Russlands auf die Ukraine außer Betrieb gesetzt wurden, sind laut der IT-Sicherheitsfirma SentinelOne Opfer einer Wiper-Malware geworden. Diese Art von Schadsoftware, mit der Daten auf einem infizierten Gerät dauerhaft unbrauchbar gemacht werden sollen, stehen demnach in Zusammenhang mit dem zerstörerischen, in Russland verorteten Botnetz VPNFilter.

Der von langer Hand vorbereitete massive Cyberangriff legte die Terminals zehntausender Kunden des Eutelsat-Ableger Skylogic in Europa lahm, für den Viasat das KA-Sat-Netz betreibt. Durch den Vorfall, der offenbar vor allem Kunden in der Ukraine vom Satelliteninternet abschneiden sollte, wurde etwa auch in Deutschland als "Kollateralschaden [1]" der Betrieb von rund 5800 Enercon-Windkraftanlagen stark eingeschränkt [2].

Anfälliges VPN lässt Angreifer herein

Am Mittwoch gab Viasat Einzelheiten über den Ausfall bekannt. Das Unternehmen machte dafür im Kern eine schlecht konfigurierte VPN-Anwendung verantwortlich, die es einem Eindringling ermöglichte, auf ein vertrauenswürdiges Verwaltungssegment des KA-Sat-Netzes zuzugreifen. Zuvor waren Experten bereits davon ausgegangen, dass die Störungen nur durch einen Angriff auf das zentrale Network Operation Center (NOC) von Viasat erklärt werden könne [3]. Den mutwilligen Hackern sei es so vermutlich gelungen, ein schadhaftes Firmware-Update auf den Terminals zu installieren.

Viasat erläuterte nun, dass der unbekannte Angreifer das interne Netzwerk ausgeforscht habe. Dabei sei es ihm gelungen, die Modems der Skylogic-Kunden anzuweisen, ihren Flash-Speicher zu überschreiben. Im Anschluss sei zumindest ein Werksreset erforderlich gewesen, um die normale Funktion der Geräte wiederherzustellen.

Der Eindringling habe sich innerhalb des vertrauenswürdigen Verwaltungsnetzwerks zu einem bestimmten Segment bewegt, das für die Kontrolle und den Betrieb von KA-Sat verwendet werde, führte Viasat aus. Dieser privilegierte Zugang sei dazu missbraucht worden, "legitime, gezielte Verwaltungsbefehle auf einer großen Anzahl von privaten Modems gleichzeitig auszuführen".

Schädliches Firmware-Update eingeschleust

Mit diesen "destruktiven Anweisungen" seien wichtige Daten im Speicher überschrieben worden, heißt es in der Erklärung [4]. Die Terminals hätten so nicht mehr auf das Netz zugreifen können, seien aber nicht dauerhaft unbrauchbar geworden. Trotzdem hat Viasat nach eigenen Angaben inzwischen rund 30.000 Modems an Vertriebspartner geschickt, um die Abonnenten wieder online zu bringen.

Wie genau der Speicher überschrieben wurde, ließ Viasat offen. Diese Lücke füllten am Donnerstag die IT-Sicherheitsforscher Juan Andres Guerrero-Saade und Max van Amerongen von SentinelOne. Ihnen zufolge handelte es sich um eine Wiper-Malware [5], die als schadhaftes Firmware-Update vom kompromittierten Backend von Viasat auf die Geräte aufgespielt wurde. Diese Schlussfolgerung basiert auf einer verdächtig aussehenden MIPS-ELF-Binärdatei [6] namens "ukrop", die am 15. März auf VirusTotal hochgeladen wurde.

Bekannte Schädlinge

Die IT-Security-Experten tauften den Wiper auf den Namen "AcidRain". Dieser gehe mit einer "Brute-Force-Attacke" recht brachial vor: Wenn der Code als Root laufe, würden als Erstes alle Nicht-Standard-Dateien überschrieben und gelöscht. Im Anschluss versuche AcidRain, Daten auf vorhandenen SD-Karten, Flash-Speichern, angeschlossenen Geräten und anderen Ressourcen zu zerstören. Schließlich führe die Malware einen Systemaufruf zur Synchronisierung aus, um sicherzustellen, dass die Änderungen übernommen werden. Das betroffene Gerät werde neu gestartet und sei dann funktionsunfähig.

Viasat bestätigte mittlerweile [7] gegenüber dem Fachportal BleepingComputer, dass "die Analyse im Bericht von SentinelLabs rund um die Ukrop-Binärdatei mit den Fakten in unserem Bericht übereinstimmt". Laut SentinelOne sind demnach seit Anfang 2022 insgesamt sieben einschlägige, tendenziell besonders zerstörerische Malware-Arten bekannt, die auf Systeme in der Ukraine abzielen: WhisperKill, WhisperGate, HermeticWiper [8], IsaacWiper, CaddyWiper und DoubleZero.

Die Forscher gehen ferner "mit mittlerer Sicherheit" davon aus, dass zwischen AcidRain und einem destruktiven Plugin der Botnetz-Malware VPNFilter "Ähnlichkeiten in der Entwicklung bestehen". 2018 hätten das FBI und das US-Justizministerium diesen Schädling aus dem sogenannten Sandworm-Cluster [9], der zeitweise rund 500.000 Router und Server befallen hatte [10], der russischen Regierung zugeschrieben. Bei AcidRain scheine es sich insgesamt aber um "ein weitaus schlampigeres Produkt" zu handeln im Vergleich zum gezielter vorgehenden Vorbild.

[11]

(tiw [12])

URL dieses Artikels:
https://www.heise.de/-6661499

Links in diesem Artikel:

1. https://www.heise.de/hintergrund/Russlands-Krieg-Was-droht-uns-im-Cyberspace-6550355.html
2. https://www.heise.de/news/Satelliten-Stoerung-Tausende-Windraeder-nicht-steuerbar-6529189.html
3. https://www.heise.de/news/Angriff-auf-Satellitennetzwerk-KA-Sat-Experten-suchen-nach-dem-Ursprung-6544706.html
4. https://www.viasat.com/about/newsroom/blog/ka-sat-network-cyber-attack-overview/
5. https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/
6. https://www.theregister.com/2022/04/01/sentinelone_wiper_viasat/
7. https://www.bleepingcomputer.com/news/security/viasat-confirms-satellite-modems-were-wiped-with-acidrain-malware/
8. https://www.heise.de/news/Cyberattacken-auf-Ukraine-6524405.html
9. https://www.heise.de/news/Russische-Cybergang-Cyclops-Blink-Botnet-befaellt-WatchGuard-Firewalls-6523973.html
10. https://www.heise.de/news/Grosses-Botnetz-VPNFilter-Malware-nimmt-weitere-Geraete-ins-Visier-4072713.html
11. https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
12. mailto:tiw@heise.de

Copyright © 2022 Heise Medien