Redactie - 01 april 2022

Nieuwe wiper malware ingezet bij hack van satellietnetwerk Viasat

Een aanval die de satellieten van het Amerikaanse Viasat platlegde op dag van de invasie van Oekraïne, was het werk van een 'wiper' malware. Dat zegt Viasat zelf.

Het gaat om een nieuw ontdekte data wiper, die de naam AcidRain meekreeg. Onderzoekers van het bedrijf SentinelOne beschrijven de wiper in een rapport dat ze gisteren publiceerden. Volgens dat rapport heeft de wiper gelijkenissen met een ander stuk malware, VPNFilter, dat de voorbije maanden zo'n half miljoen modems in de VS wist te infecteren. Amerikaanse overheidsdiensten linken die VPNFilter aan Russische staatshackers.

Maar het is dus die AcidRain die verantwoordelijk is voor het uitvallen van een hele reeks satellietmodems van Viasat, dat geeft het bedrijf nu zelf toe. De verbindingen van Viasa werden in de ochtend van 24 februari onderbroken, op het moment dat Rusland zijn grondtroepen over de grens met Oekraïne stuurde. Bij de aanval werden modems van Viasat onklaar gemaakt, in Oekraïne maar ook daarbuiten. Klanten over heel Europa zagen hun satellietverbinding uitvallen.

Slecht geconfigureerde VPN

In een eigen rapport schrijft Viasat nu dat hackers op het bedrijfsnetwerk raakten via een slecht geconfigureerde VPN. Van daaruit konden ze zich lateraal bewegen richting delen van het netwerk waarmee ze commando's konden uitsturen naar een groot aantal residentiële modems. 'Deze verwoestende commando's overschreven belangrijke data in het flashgeheugen van de modems, waardoor die niet langer het netwerk kunnen aanspreken, maar nog niet helemaal onbruikbaar zijn', aldus Viasat.

Dat het om een wiper gaat, verklaart ook deels de trage hersteltijd. De modems die geraakt werden kunnen niet via een update worden hersteld, maar moeten vervangen worden. Omdat de data die ze nodig hebben om op het netwerk te geraken is vernietigd, kunnen ze helemaal niet zonder fysieke interventie worden hersteld. Het is ondertussen al de zevende wiper malware die sinds het begin van de oorlog in Oekraïne wordt gevonden. Over het algemeen is dat soort malware echter bijzonder zeldzaam, zeker als die ook nog eens geschreven is voor modems en routes, schrijft SentinelOne.

In samenwerking met Data News

Lenovo Channel Campagne vierkant Sophos 14/11/2024 t/m 28/11/2024 BN + BW
Lenovo Channel Campagne liggend

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!