Un malware que borra el módem provocó un corte de banda ancha en Viasat [ENG]

Traducción automática:

Decenas de miles de módems de banda ancha por satélite de Viasat inutilizados en un ciberataque hace unas semanas fueron borrados por un malware con posibles vínculos con el destructivo VPNFilter de Rusia, según SentinelOne.

El 24 de febrero, mientras las tropas rusas invadían Ucrania, los terminales de Viasat en Europa y Ucrania quedaron repentina e inesperadamente fuera de servicio y sin poder funcionar. Esto provocó, entre otras cosas, que miles de turbinas eólicas en Alemania perdieran la conectividad a Internet por satélite necesaria para la supervisión y el control remotos.

A principios de esta semana, Viasat dio algunos detalles sobre la interrupción: culpó a un dispositivo VPN mal configurado, que permitió a un intruso acceder a un segmento de gestión de confianza de la red de satélites KA-SAT de Viasat.

El proveedor de banda ancha dijo que este intruso exploró entonces su red interna hasta que pudo ordenar a los módems de los abonados que sobrescribieran su almacenamiento flash, lo que requirió un restablecimiento de fábrica para restaurar los equipos. Nos dijeron:

El atacante se desplazó lateralmente a través de esta red de gestión de confianza hasta un segmento de red específico utilizado para gestionar y operar la red, y luego utilizó este acceso a la red para ejecutar comandos de gestión legítimos y específicos en un gran número de módems residenciales simultáneamente. En concreto, estos comandos destructivos sobrescribían los datos clave de la memoria flash de los módems, lo que impedía a éstos acceder a la red, pero no los inutilizaba de forma permanente.

No se ha dicho exactamente cómo se sobrescribió la memoria de estos módems. Sin embargo, según la rama de investigación de SentinelOne, podría tratarse de un malware wiper desplegado en los dispositivos como una actualización de firmware maliciosa desde el backend comprometido de Viasat. Esta conclusión se basa en un binario MIPS ELF de aspecto sospechoso llamado "ukrop" que se subió a VirusTotal el 15 de marzo.

"Sólo los responsables del incidente en el caso de Viasat podrían decir definitivamente si éste fue el malware utilizado en este incidente en particular", escribieron el jueves Juan Andrés Guerrero-Saade y Max van Amerongen de SentinelOne.

Tras analizar la explicación "algo plausible pero incompleta" del ciberataque por parte de Viasat, los dos investigadores llegaron a esta hipótesis:

El actor de la amenaza utilizó el mecanismo de gestión de KA-SAT en un ataque a la cadena de suministro para impulsar un wiper diseñado para módems y routers. Un wiper para este tipo de dispositivos sobrescribiría los datos clave de la memoria flash del módem, dejándolo inoperativo y necesitando un reflash o una sustitución.
Los investigadores señalaron que Viasat no proporcionó indicadores técnicos de compromiso ni un informe completo de respuesta al incidente. En cambio, la empresa de satélites dijo que los comandos maliciosos interrumpieron los módems en Ucrania y otros países europeos. El dúo SentinelOne se preguntó cómo los comandos legítimos podrían causar este nivel de caos en los módems. "Es más plausible que la interrupción escalable se logre mediante el envío de una actualización, un script o un ejecutable", dijeron los investigadores.

Sugieren que el ejecutable ukrop, al que han bautizado como AcidRain, podría hacer el truco.

Y resulta que el laboratorio de SentinelOne tenía razón. En un comunicado, Viasat dijo que la hipótesis de los investigadores era "consistente con los hechos de nuestro informe ... SentinelLabs identifica el ejecutable destructivo que se ejecutó en los módems utilizando un comando de gestión legítimo como Viasat describió previamente".

Así que, por comandos destructivos, Viasat quería decir: los módems recibían órdenes de sus servidores de soporte comprometidos para ejecutar malware destructivo.

Una vez introducido y ejecutado en un módem SATCOM, AcidRain utilizaba un método de fuerza bruta para borrar la memoria del dispositivo. SentinelOne dijo que esto podría significar que quien desplegó el software no estaba 100% seguro de la disposición del firmware en los gateways de Viasat, o que querían mantener AcidRain lo suficientemente genérico como para poder reutilizarlo contra otros equipos sin mucha o ninguna modificación.

"Si el código se ejecuta como root, AcidRain realiza una sobrescritura y borrado recursivo inicial de los archivos no estándar del sistema de archivos", escribieron Guerrero-Saade y van Amerongen.

A continuación, AcidRain intentó destruir los datos de las tarjetas SD, la memoria flash, los dispositivos de bloques virtuales y otros recursos presentes. Escribía hasta 262.144 bytes en cada archivo del dispositivo para destruir sus datos, o bien utilizaba una llamada al sistema para operaciones de entrada/salida específicas del dispositivo para borrar la información.

Por último, el malware ejecutaba una llamada al sistema fsync para asegurarse de que sus cambios se confirmaban. AcidRain reinició el dispositivo una vez que completó sus procesos de borrado de datos, y "esto hace que el dispositivo quede inoperable", escribieron los investigadores.

Esto convierte a AcidRain en el séptimo wiper conocido públicamente asociado a la invasión rusa de Ucrania. Dejando a un lado la historia reciente, el malware wiper es raro, y los wipers dirigidos a routers, módems o dispositivos IoT son aún más inusuales, dijo el equipo de SentinelOne.

¿Conexión VPNFilter?
Sin embargo, hay una notable excepción: el malware VPNFilter de 2018, desarrollado por el equipo Sandworm, vinculado al Kremlin. Descubierto por la unidad Talos de Cisco, este software desagradable apuntaba a routers y dispositivos de almacenamiento.

"La razón por la que traemos a colación el espectro de VPNFilter no es por sus similitudes superficiales con AcidRain, sino por una interesante (pero no concluyente) superposición de código entre un plugin específico de VPNFilter y AcidRain", escribió la pareja de SentinelOne.

La biblioteca de coincidencia de hashing difuso tlsh sitúa la similitud del plugin VPNFilter y la muestra de AcidRain en un 55 por ciento. Además, tanto VPNFilter como AcidRain son binarios MIPS ELF, y "la mayor parte de su código compartido parece provenir de libc vinculada estáticamente", explicó la tienda de seguridad, añadiendo que el malware también puede compartir un compilador. Además, ambos utilizan las llamadas al sistema MEMGETINFO, MEMUNLOCK y MEMERASE para borrar los archivos del dispositivo mtd. AcidRain se dirige claramente a los dispositivos con sabor a Linux alimentados por procesadores MIPS.

VPNFilter y AcidRain tienen "diferencias notables", escribieron los investigadores de SentinelOne. AcidRain "parece ser un producto mucho más descuidado que no alcanza los estándares de codificación del primero", dijeron Guerrero-Saade y van Amerongen, señalando la repetición del nuevo binario y el uso redundante de la bifurcación de procesos.

Mientras que AcidRain utilizó la fuerza bruta, lo que puede permitir su reutilización con éxito en múltiples modelos de dispositivos, VPNFilter adoptó un enfoque más específico para los dispositivos con rutas codificadas.

"Aunque no podemos relacionar definitivamente AcidRain con VPNFilter (o con el grupo más amplio de amenazas Sandworm), observamos una evaluación de confianza media de las similitudes de desarrollo no triviales entre sus componentes", concluyeron los investigadores.

También instaron a otros investigadores de seguridad a "seguir contribuyendo con sus hallazgos en el espíritu de colaboración que ha impregnado la industria de la inteligencia de amenazas durante el último mes."