FortiGuard Labs è a conoscenza di un rapporto secondo cui un nuovo malware wiper è stato distribuito e distrutto i dati su modem e router per i servizi a banda larga satellitare KA-SAT, provocando interruzioni del servizio in tutta Europa il 24 febbraio 2022. L’interruzione del servizio ha anche causato la disconnessione del accesso a 5.800 turbine eoliche in Europa. Secondo il fornitore di sicurezza SentinelOne, il tergicristallo AcidRain condivide somiglianze con un plug-in distruttivo VPNFilter fase 3. Il Federal Bureau of Investigation (FBI) e il Dipartimento di Giustizia hanno interrotto la botnet VPNFilter sequestrando un dominio che faceva parte dell’infrastruttura Command-and-Control (C2). Si ritiene che l’attore della minaccia Sofacy connesso alla Russia (noto anche come APT28, Sednit, Pawn Storm, Fancy Bear e Tsar) abbia gestito la botnet VPNFilter. Perché è significativo? Ciò è significativo non solo perché nell’attacco è stato utilizzato un nuovo malware wiper, ma anche perché l’attacco ha causato l’interruzione del servizio per i servizi satellitari a banda larga in Europa, inclusa l’Ucraina, e 5.800 turbine eoliche in Europa sono state disattivate. Inoltre, la US Cybersecurity and Infrastructure Security Agency (CISA) e l’FBI hanno rilasciato un avviso congiunto il 17 marzo 2022, avvertendo di attacchi informatici alle reti di comunicazione satellitare statunitensi e internazionali (SATCOM). Cosa è successo Secondo la dichiarazione rilasciata da Viasat, fornitore di servizi a banda larga satellitare KA-SAT, l’attacco è avvenuto in due fasi.1. Il 24 febbraio 2022, “è stato rilevato traffico dannoso proveniente da diversi modem SurfBeam2 e SurfBeam 2+ e/o apparecchiature associate del cliente (CPE) situate fisicamente in Ucraina e servite da una delle partizioni di rete orientate al consumatore KA-SAT. Questo un attacco denial of service mirato ha reso difficile per molti modem rimanere online”. 2. Successivamente, l’azienda ha iniziato a osservare un graduale declino dei modem collegati. Inoltre, un gran numero di modem aggiuntivi in gran parte dell’Europa è uscito dalla rete e non sono rientrati nella rete. La dichiarazione continua dicendo che l’attaccante ha ottenuto l’accesso remoto al segmento di gestione affidabile della rete KA-SAT attraverso un’appliance VPN mal configurata. L’attore della minaccia si è spostato lateralmente attraverso la rete e alla fine ha inviato “comandi di gestione legittimi e mirati su un gran numero di modem residenziali contemporaneamente. In particolare, questi comandi distruttivi hanno sovrascritto i dati chiave nella memoria flash dei modem, rendendo i modem incapaci di accedere alla rete, ma non permanentemente inutilizzabile. “La convinzione è che “questi comandi distruttivi” si riferiscano al malware del tergicristallo AcidRain. Cos’è il malware VPNFilter? VPNFilter è un malware IoT segnalato per la prima volta a metà del 2018 e mirato a casa e Small Office/Home Office (SOHO ) router e dispositivi NAS (Network Attached Storage). Il malware non è solo in grado di eseguire l’esfiltrazione dei dati, ma anche di rendere i dispositivi completamente inutilizzabili. FortiGuard Labs ha pubblicato una serie di blog di ricerca sul malware VPNFilter nel 2018. Vedere l’Appendice per un collegamento a “VPNFilter Malware – Aggiornamento critico” e “Aggiornamento VPNFilter – Nuovo Moduli di attacco documentati”. Qual è l’attore di minacce Sofacy? Sofacy è un attore di minacce che si ritiene operi per interessi russi. L’attore della minaccia è operativo almeno dal 2007 e prende di mira un’ampia gamma di settori, tra cui organizzazioni governative, militari e di sicurezza. Una delle attività più famigerate svolte dal gruppo Sofacy è il loro presunto coinvolgimento nell’hacking di “reti ed endpoint associati a le elezioni statunitensi” nel 2016, in cui l’FBI e il Dipartimento per la sicurezza interna (DHS) degli Stati Uniti ha rilasciato un avviso di adesione il 29 dicembre 2016. Qual è lo stato della copertura? FortiGuard Labs fornisce la seguente copertura AV contro il malware del tergicristallo AcidRain che si ritiene possa sono stati usati nell’attacco:ELF/AcidRain.A!tr
