Serangan dunia maya baru-baru ini terhadap penyedia komunikasi satelit AS Viasat, sebuah insiden yang memicu pemadaman layanan satelit di seluruh Eropa tengah dan timur, kemungkinan besar disebabkan oleh malware penghapus yang merusak, menurut penelitian keamanan yang baru diterbitkan.
Rincian tentang serangan siber, yang membuat jaringan KA-SAT Viasat tidak dapat beroperasi sejak 24 Februari — hari invasi Rusia ke Ukraina — sejauh ini masih ringan. Serangan itu, yang juga memutus akses jarak jauh ke sekitar 5.800 turbin angin di seluruh Jerman, pada awalnya diyakini sebagai hasil dari serangan denial of service yang terdistribusi, tetapi para peneliti SentinelLabs sekarang percaya bahwa itu adalah hasil dari malware penghapus jenis baru yang disebut “AcidRain ” yang dirancang untuk menghapus modem dan router yang rentan dari jarak jauh.
AcidRain ditemukan oleh para peneliti SentinelLabs pada 15 Maret setelah diunggah ke VirusTotal dari seorang pengguna di Italia dengan nama “ukrop”, yang menurut para peneliti bisa jadi merupakan singkatan dari “operasi Ukraina”. Fungsionalitas wiper digambarkan sebagai “generik” oleh para peneliti, karena ia melakukan penghapusan mendalam pada sistem file dan berbagai file perangkat penyimpanan yang diketahui, sebelum mencoba menghancurkan data. Setelah proses penghapusan selesai, perangkat di-boot ulang dan akhirnya tidak dapat dioperasikan.
“Fungsionalitas AcidRain relatif mudah dan mengambil upaya bruteforce yang mungkin menandakan bahwa penyerang tidak terbiasa dengan perincian firmware target atau menginginkan alat tersebut tetap generik dan dapat digunakan kembali,” kata peneliti SentinelLabs Juan Andres Guerrero-Saade dan Max van Amerongen .
Sementara identitas penyerang masih belum diketahui, SentinelLabs telah mencatat kesamaan antara AcidRain dan malware VPNFilter, yang menginfeksi ribuan router rumah dan bisnis kecil serta perangkat jaringan di seluruh dunia. Pada tahun 2018, FBI mengaitkan operasi VPNFilter dengan kelompok peretasan “Fancy Bear” yang didukung Rusia — atau APT28 —, dan baru-baru ini, NSA dan CISA mengaitkannya dengan Sandworm, yang telah dituduh melakukan serangan selama lima tahun. , termasuk serangan siber NotPetya yang merusak yang menargetkan ratusan perusahaan dan rumah sakit di seluruh dunia dan serangan siber yang merusak sebagian jaringan listrik Ukraina. Baik APT28 dan Sandworm telah dikaitkan dengan badan intelijen militer Rusia, GRU.
Para peneliti mencatat bahwa meskipun “tidak dapat secara definitif” mengikat AcidRain ke VPNFilter, atau klaster ancaman Sandworm yang lebih besar, ia mencatat “penilaian kepercayaan menengah atas kesamaan perkembangan non-sepele di antara komponen mereka.”
AcidRain diyakini sebagai jenis malware wiper ketujuh yang menargetkan Ukraina sejak awal invasi Rusia, kata peneliti tersebut.
Viasat mengonfirmasi banyak temuan SentinelOne dalam pernyataan yang diberikan kepada TechCrunch. Viasaid mengatakan temuan para peneliti “konsisten dengan fakta dalam laporan kami,” yang dirilis Rabu, tetapi menolak berkomentar lebih lanjut dengan alasan penyelidikan yang sedang berlangsung.
Viasat mengatakan pada hari Rabu dalam laporan tanggapan insiden pertamanya mengenai serangan dunia maya Februari bahwa penyerang yang tidak disebutkan namanya mengeksploitasi alat VPN yang salah konfigurasi untuk mendapatkan akses jarak jauh ke segmen “manajemen tepercaya” dari jaringan KA-SAT, sebelum menggunakan akses mereka untuk “menjalankan yang sah, perintah manajemen yang ditargetkan pada sejumlah besar modem perumahan secara bersamaan.
Viasat selanjutnya menambahkan bahwa “perintah destruktif ini menimpa data kunci dalam memori flash pada modem, membuat modem tidak dapat mengakses jaringan, tetapi tidak dapat digunakan secara permanen.”
SentineLabs mencatat dalam laporannya bahwa masih belum jelas bagaimana perintah yang sah dapat menimbulkan efek yang mengganggu pada modem. “Meskipun pernyataan Viasat mengklaim bahwa tidak ada serangan rantai pasokan atau penggunaan kode berbahaya pada router yang terpengaruh, kami mengajukan hipotesis yang lebih masuk akal bahwa penyerang menggunakan AcidRain (dan mungkin binari dan skrip lain) ke perangkat ini untuk melakukan operasi,” Guerrero-Saade dan van Amerongen menyimpulkan.
Sejak serangan Februari, yang menurut Viasat berdampak pada beberapa ribu pelanggan yang berlokasi di Ukraina dan puluhan ribu pelanggan di seluruh Eropa, perusahaan telah mengirimkan hampir 30.000 modem ke distributor untuk membawa pelanggan kembali online. Pemadaman belum sepenuhnya terselesaikan, dan CISA serta FBI telah memperingatkan bahwa satelit AS bisa menjadi target berikutnya.
Diperbarui dengan komentar dari Viasat.
