17 meneos
93 clics
Un malware que borra el módem provocó un corte de banda ancha en Viasat [ENG]
El 24 de febrero, mientras las tropas rusas invadían Ucrania, los terminales de Viasat en Europa y Ucrania quedaron repentina e inesperadamente fuera de servicio y sin poder funcionar. Esto provocó, entre otras cosas, que miles de turbinas eólicas en Alemania perdieran la conectividad a Internet por satélite necesaria para la supervisión y el control remotos. A principios de esta semana, Viasat dio algunos detalles sobre la interrupción: culpó a un dispositivo VPN mal configurado...
|
comentarios cerrados
Decenas de miles de módems de banda ancha por satélite de Viasat inutilizados en un ciberataque hace unas semanas fueron borrados por un malware con posibles vínculos con el destructivo VPNFilter de Rusia, según SentinelOne.
El 24 de febrero, mientras las tropas rusas invadían Ucrania, los terminales de Viasat en Europa y Ucrania quedaron repentina e inesperadamente fuera de servicio y sin poder funcionar. Esto provocó, entre otras cosas, que miles de turbinas eólicas en Alemania perdieran la conectividad a Internet por satélite necesaria para la supervisión y el control remotos.
A principios de esta semana, Viasat dio algunos detalles sobre la interrupción: culpó a un dispositivo VPN mal configurado, que permitió a un intruso acceder a un segmento de gestión de confianza de la red de satélites KA-SAT de Viasat.
El proveedor de banda ancha dijo que este intruso exploró entonces su red interna hasta que pudo ordenar a los módems de los abonados que sobrescribieran su almacenamiento flash, lo que requirió un restablecimiento de fábrica para restaurar los equipos. Nos dijeron:
El atacante se desplazó lateralmente a través de esta red de gestión de confianza hasta un segmento de red específico utilizado para gestionar y operar la red, y luego utilizó este acceso a la red para ejecutar comandos de gestión legítimos y específicos en un gran número de módems residenciales simultáneamente. En concreto, estos comandos destructivos sobrescribían los datos clave de la memoria flash de los módems, lo que impedía a éstos acceder a la red, pero no los inutilizaba de forma permanente.
No se ha dicho exactamente cómo se sobrescribió la memoria de estos módems. Sin embargo, según la rama de investigación de SentinelOne, podría tratarse de un malware wiper desplegado en los dispositivos como una actualización de firmware maliciosa desde el backend comprometido de Viasat. Esta conclusión se basa en un binario MIPS ELF de aspecto sospechoso llamado "ukrop" que se subió a VirusTotal el 15 de marzo.
"Sólo los responsables del incidente en el caso de Viasat podrían decir definitivamente si éste fue el malware utilizado en este incidente en particular", escribieron el jueves Juan Andrés Guerrero-Saade y Max van Amerongen de SentinelOne.
Tras analizar la explicación "algo plausible pero incompleta" del ciberataque por parte de Viasat, los dos investigadores llegaron a esta hipótesis:
El actor de la amenaza utilizó
… » ver todo el comentario