in

Viasat Hack vinculado a malware de borrado de datos diseñado para apagar módems

03CavwRtuhfJdzi8FHueSU8 1.fit lim.size 1200x630.v1648752791

La interrupción masiva de Internet satelital de Viasat del mes pasado se conectó con malware capaz de borrar datos de módems y enrutadores.

La firma de seguridad cibernética SentinelOne dice que detectó una muestra de malware que probablemente se usó durante el hackeo de Viasat del 24 de febrero, que interrumpió el servicio de Internet. El malware, denominado AcidRain, es un programa ejecutable de Unix diseñado para apuntar a dispositivos creados con la arquitectura MIPS.

SentinelOne notó el malware después de que se cargara una muestra de AcidRain en el servicio de detección de malware VirusTotal el 15 de marzo. La misma muestra provino de Italia, donde también tiene su sede SkyLogic, el operador de Viasat que administra la red afectada. Además, la muestra de malware estaba etiquetada con el nombre “ukrop”, una posible referencia a la Operación Ucrania.

El código de computadora ejecutado por Acid Rain.

(Centinela Uno)

SentinelOne también examinó AcidRain y descubrió que puede realizar «un borrado en profundidad del sistema de archivos y varios archivos de dispositivos de almacenamiento conocidos» en un módem infectado. El malware luego activará un reinicio, dejando el dispositivo inoperable.

La empresa de seguridad emitió el informe un día después de que Viasat proporcionara más detalles sobre el apagón del 24 de febrero, que ocurrió justo cuando Rusia comenzaba a invadir Ucrania. La interrupción provocó que miles de usuarios en Ucrania y decenas de miles más en toda Europa perdieran temporalmente el acceso a Internet.

La investigación de Viasat encontró que los piratas informáticos detrás del incidente explotaron un dispositivo VPN mal configurado para obtener acceso remoto a la infraestructura de Internet satelital y luego usaron «comandos de administración legítimos y específicos» en una gran cantidad de módems para desconectarlos.

Sin embargo, la investigación de Viasat no mencionó ningún malware de borrado de datos. En cambio, el informe de la compañía apuntaba a «comandos destructivos» que sobrescribían datos clave en la memoria flash de los módems afectados, dejándolos inservibles.

Aún así, Viasat no niega los hallazgos de SentinelOne sobre AcidRain. En un comunicado, el proveedor de Internet satelital dijo: “El análisis en el informe de SentinelLabs con respecto al binario ukrop es consistente con los hechos de nuestro informe; específicamente, SentinelLabs identifica el ejecutable destructivo que se ejecutó en los módems usando un comando de administración legítimo como Viasat. descrito previamente.»

No está claro por qué Viasat no mencionó la presencia del malware de borrado de datos, pero señaló: “Debido a la investigación en curso y para garantizar la seguridad de nuestros sistemas contra ataques continuos, no podemos compartir públicamente todos los detalles forenses del evento. . A través de este proceso, hemos estado y continuamos cooperando con varias agencias gubernamentales y de aplicación de la ley de todo el mundo, que han tenido acceso a los detalles del evento”.

Recomendado por Nuestros Editores

AcidRain representa al menos la séptima cepa de malware de borrado de datos para atacar los sistemas de TI relacionados con Ucrania. Los ataques han estado dirigidos a numerosas empresas en el país desde antes y durante la invasión de Rusia.

El informe de SentinelOne señaló que AcidRain tiene algunas similitudes con otra variedad de malware de 2018 denominada VPNFilter, que los estadounidenses sospechan que proviene de piratas informáticos patrocinados por el estado ruso. «Evaluamos con confianza media que existen similitudes de desarrollo entre AcidRain y un complemento destructivo de etapa 3 de VPNFilter», agregó SentinelOne. Según se informa, la inteligencia de EE. UU. también sospecha que el ataque a Viasat provino de espías militares rusos.

“Postulamos que hay rasgos de desarrollo notables que conectan este complemento VPNFilter y AcidRain, pero hacemos todo lo posible para no exagerar esa idea”, tuiteó el investigador de SentinelOne, Juan Andres Guerrero‑Saade. «Es una hipótesis que necesita pruebas de estrés e invitamos a la comunidad de investigación a echar un vistazo y compartir sus hallazgos».

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n; n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window, document,'script','//connect.facebook.net/en_US/fbevents.js');

fbq('init', '454758778052139'); fbq('track', "PageView"); } }