Përmbledhje
- Të enjten, më 24 shkurt 2022, një sulm kibernetik bëri që modemet Viasat KA-SAT të mos funksiononin në Ukrainë.
- Përhapja nga ky sulm bëri që 5,800 turbina me erë Enercon në Gjermani tëmos komunikonin për monitorim ose kontroll në distancë.
- Deklarata e Viasat të mërkurën, 30 mars 2022 ofron një përshkrim disi të besueshëm, por jo të plotë të sulmit.
Studiuesit e SentinelLabs zbuluan malware të ri që e quajtën ‘AcidRain’. - AcidRain është një malware ELF MIPS i krijuar për të fshirë modem dhe ruter.
- Ka ngjashmëri midis AcidRain dhe një plugin shkatërrues të fazës 3 VPNFilter. Në vitin 2018, FBI dhe Departamenti i Drejtësisë ia atribuuan fushatën VPNFilter qeverisë ruse.
- AcidRain është malware i 7-të i fshirës i lidhur me pushtimin rus të Ukrainës.
Kontekst
Pushtimi rus i Ukrainës ka përfshirë një mori operacionesh kibernetike që kanë testuar supozimet tona kolektive për rolin që luan kibernetika në luftën moderne. Që nga fillimi i vitit 2022, gjashtë lloje të ndryshme të malware fshirës që synojnë Ukrainën: WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper dhe DoubleZero. Këto sulme janë të dukshme . Por ka qenë një sulm i vecantë me anë të “hakimit të modemit satelitor” . Ky sulm i veçantë shkon përtej Ukrainës.
Fillimisht u bëmë i vetëdijshëm për një problem me ruterat Viasat KA-SAT për shkak të një ndërprerjeje të raportuar të 5,800 turbinave me erë Enercon në Gjermani. Për të sqaruar, vetë turbinat me erë nuk u bënë jofunksionale, por “monitorimi dhe kontrolli në distancë i turbinave me erë” u bë i padisponueshëm për shkak të problemeve me komunikimet satelitore. Koha përkoi me pushtimin rus të Ukrainës dhe u ngritën dyshime se një përpjekje për të hequr aftësitë e komandës dhe kontrollit ushtarak ukrainas duke penguar lidhjen satelitore u përhap për të prekur infrastrukturën kritike gjermane. Nuk u bënë të disponueshme detaje teknike; spekulimet teknike kanë qenë të shfrenuara.
Të mërkurën, më 30 mars 2022, Viasat më në fund lëshoi një deklaratë ku thuhej se sulmi u zhvillua në dy faza: Së pari, një sulm i mohimit të shërbimit që vinte nga “disa modeme SurfBeam2 dhe SurfBeam2+ dhe […pajisje të tjera on-prem…] të vendosura fizikisht brenda Ukrainës” që përkohësisht i hodhi jashtë linje modemet KA-SAT. Më pas, zhdukja graduale e modemëve nga shërbimi Viasat. Ofruesi aktual i shërbimit është në mes të një marrëveshjeje komplekse ku Eutalsat ofron shërbimin, por ai administrohet nga një kompani italiane e quajtur Skylogic si pjesë e një plani tranzicioni.
Shpjegimi i Viasat
Viasat nuk ka dhënë asnjë tregues teknik dhe as një raport reagimi ndaj incidentit. Ata dhanë një kuptim të përgjithshëm të zinxhirit të sulmit me përfundime që janë të vështira për t’u pranuar.
Viasat raporton se sulmuesit shfrytëzuan një pajisje VPN të konfiguruar gabimisht, fituan akses në segmentin e menaxhimit të besimit të rrjetit KA-SAT, u zhvendosën , më pas përdorën aksesin e tyre për të “ekzekutuar komandat legjitime të menaxhimit të synuar në një numër të madh modemesh rezidenciale njëkohësisht”. Viasat vazhdon të shtojë se “këto komanda destruktive fshinë të dhënat kryesore në flash memory në modemë, duke i bërë modemet të paaftë për të hyrë në rrjet, por jo përgjithmonë të papërdorshëm”.
Mbetet e paqartë se si komandat legjitime mund të kenë një efekt kaq shkatërrues mbi modemet. Ndërprerja e shkallëzuar arrihet në mënyrë më të besueshme duke shtyrë një përditësim, skript ose ekzekutues. Është gjithashtu e vështirë të parashikohet se si komandat legjitime do të mundësonin efektet DoS ose do t’i bënin pajisjet të papërdorshme, por jo të përhershme.
Në fakt, raporti paraprak i incidentit të Viasat parashtron kërkesat e mëposhtme:
- Mund të shtyhet masivisht përmes segmentit të menaxhimit KA-SAT në modem.
- Do të mbishkruante të dhënat kryesore në flash memory të modemit.
- I kthejnë pajisjet të papërdorshme, që kanë nevojë për rikonfigurim , por jo të papërdorshme përgjithmonë.
Le të supozojmë një hipotezë alternative: Aktori i kërcënimit përdori mekanizmin e menaxhimit KA-SAT në një upply-chain attack për të injektuar një fshirëse të krijuar për modem dhe ruter. Një fsulm me qellim fshirjen për këtë lloj pajisjeje do të mbishkruante të dhënat kryesore në flash memory të modemit, duke e bërë atë të inoperable dhe të lind nevoja për restart ose zëvendësim.
Acid Rain
Një binar MIPS ELF u ngarkua në VirusTotal nga Italia me emrin ‘ukrop’. Nuk dinim si ta analizonim saktë emrin. Interpretimet e mundshme përfshijnë një stenografi për operacionin “ukr”aine, akronimin e Shoqatës së Patriotëve të Ukrainës, ose një fyerje etnike ruse për ukrainasit – “Укроп”. Vetëm reaguesit e incidentit në rastin Viasat mund të thonë përfundimisht nëse ky ishte në fakt malware i përdorur në këtë incident të veçantë.
Përmbledhje Teknik
| SHA256 | 9b4dfaca873961174ba935fddaf696145afe7bbf5734509f95feb54f3584fd9a |
| SHA1 | 86906b140b019fdedaaba73948d0c8f96a6b1b42 |
| MD5 | ecbe1b1e30a1f4bffaf1d374014c877f |
| Name | ukrop |
| Magic | ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV),
statically linked, stripped |
| First Seen | 2022-03-15 15:08:02 UTC |
Funksionaliteti i AcidRain është relativisht i drejtpërdrejtë dhe kërkon një përpjekje bruteforce që ndoshta do të thotë se sulmuesit ose nuk ishin të njohur me të dhënat e firmware të synuar ose donin që mjeti të mbetej generic dhe i ripërdorshëm. Binar kryen një fshirje të thellë të skedarëve të sistemit dhe skedarëve të ndryshëm të njohur të pajisjes. Nëse kodi ranohet si root, AcidRain kryen një mbishkrim dhe fshirje fillestare rekursive të skedarëve jo standardë në sistemin e skedarëve.
Fshin skedarët në mënyrë rekursive në dosje jo standarde
Pas kësaj, ai përpiqet të shkatërrojë të dhënat në skedarët e mëposhtëm në storage të pajisjes :
| Targeted Device(s) | Description |
| /dev/sd* | A generic block device |
| /dev/mtdblock* | Flash memory (common in routers and IoT devices) |
| /dev/block/mtdblock* | Another potential way of accessing flash memory |
| /dev/mtd* | The device file for flash memory that supports fileops |
| /dev/mmcblk* | For SD/MMC cards |
| /dev/block/mmcblk* | Another potential way of accessing SD/MMC cards |
| /dev/loop* | Virtual block devices |
Ky përsëritet mbi të gjithë identifikuesit e mundshëm të skedarëve të pajisjes (p.sh., mtdblock0 – mtdblock99), hap skedarin e pajisjes dhe ose e mbishkruan atë me deri në 0x40000 byte të dhëna ose (në rastin e skedarit të pajisjes /dev/mtd*) përdorin i IOCTLS për ta fshirë: MEMGETINFO, MEMUNLOCK, MEMERASE dhe MEMWRITEOOB. Për t’u siguruar që këto janë kryer, zhvilluesit ekzekutojnë një syscall fsync.
Kur përdoret metoda e mbishkrimit në vend të IOCTL-ve, ajo kopjon nga një memorie i inicializuar si një grup numrash të plotë 4 byte duke filluar nga 0xffffffff dhe duke u zvogëluar në çdo indeks. Kjo përputhet me atë që të tjerët kishin parë pas shfrytëzimit.
Surfbeam2 para dhe pas sulmit
Kodi për të dyja metodat e fshirjes mund të shihet më poshtë:
Mekanizmat për të fshirë pajisjet: shkruani 0x40000 (majtas) ose përdorni MEM* IOCTLS (djathtas)
Pasi të kenë përfunduar proceset e ndryshme të fshirjes, pajisja rindizet.
Pavarësisht asaj që na ka mësuar pushtimi në Ukrainë, ky malware është relativisht i rrallë. Aq më tepër wipe malware që synon ruterat, modem ose pajisjet IoT. Rasti më i dukshëm është VPNFilter, një malware modular që synon ruterat SOHO dhe pajisjet e storage QNAP, i zbuluar nga Talos. Kjo u pasua nga një aktakuzë e FBI-së që ia atribuonte operacionin Rusisë (veçanërisht APT28). Kohët e fundit, NSA dhe CISA ia atribuuan VPNFilter Sandworm (një aktor i ndryshëm kërcënimi që i atribuohet të njëjtës organizatë, GRU ruse) siç përshkroi Qendra Kombëtare e Sigurisë Kibernetike e Mbretërisë së Bashkuar (NCSC) pasardhësin e VPNFilter, Cyclops Blink.
VPNFilter përfshinte një grup mbresëlënës funksionaliteti në formën e shtojcave me shumë faza të vendosura në mënyrë selektive në pajisjet e infektuara. Funksionaliteti varion nga vjedhja e kredencialeve deri te monitorimi i protokolleve Modbus SCADA. Midis shtojcave të tij të shumta, si dhe një objektiv DDoS.
Arsyeja që ne shfaqim spektrin e VPNFilter nuk është për shkak të ngjashmërive të tij sipërfaqësore me AcidRain, por për shkak të një mbivendosjeje interesante (por jokonkluzive) të kodit midis një shtojce specifike VPNFilter dhe AcidRain.
VPNFilter Stage 3 Plugin – ‘dstr’
| SHA256 | 47f521bd6be19f823bfd3a72d851d6f3440a6c4cc3d940190bdc9b6dd53a83d6 |
| SHA1 | 261d012caa96d3e3b059a98388f743fb8d39fbd5 |
| MD5 | 20ea405d79b4de1b90de54a442952a45 |
| Description | VPNFilter Stage 3, ‘dstr’ module |
| Magic | ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV),
statically linked, stripped |
| First Seen | 2018-06-06 13:02:56 UTC |
Pas zbulimit fillestar të VPNFilter, shtojca shtesë u zbuluan nga studiues që përpiqeshin të kuptonin përhapjen masive të botnet-it dhe ndërlikimet e tij të shumta. Midis tyre kishte shtojca të panjohura më parë, duke përfshirë ‘dstr’. Siç sugjeron emri i shkurtuar, është një modul “shkatërrimi” i destinuar për të plotësuar shtojcat e fazës 2 të cilave u mungonte komanda “vrasje” që synonte të fshinte pajisjet.
Kjo shtojcë u soll në vëmendjen tonë fillimisht nga tlsh fuzzy hashing, një match librari që është provuar të jetë shumë më efektive se ssdeep ose imphash në identifikimin e mostrave të ngjashme. Ngjashmëria ishte në 55% me AcidRain pa asnjë mostër tjetër të shënuar në korpusin VT. Vetëm kjo nuk është pothuajse e mjaftueshme për të gjykuar përfundimisht dy mostrat si të lidhura, por kërkon hetim të mëtejshëm.
VPNFilter dhe AcidRain janë dukshëm të ngjashëm dhe të ndryshëm. Ata janë të dy binarë MIPS ELF dhe pjesa më e madhe e kodit të tyre të përbashkët duket se rrjedh nga libc i lidhur në mënyrë statike. Duket se ata gjithashtu mund të ndajnë një përpilues, i evidentuar më qartë nga tabelat identike të vargjeve të titujve të seksionit.
Tabelat e vargjeve të titujve të seksionit për VPNFilter dhe AcidRain
Dhe ka veçori të tjera zhvillimi, të tilla si ruajtja e numrit të syscall-it të mëparshëm në një vendndodhje globale përpara një syscall të ri. Në këtë kohë, ne nuk mund të gjykojmë nëse ky është një optimizim i përbashkët e zhvilluesit.
Për më tepër, ndërsa VPNFilter dhe AcidRain funksionojnë në mënyra shumë të ndryshme, të dy binaret përdorin MEMGETINFO, MEMUNLOCK dhe MEMERASE IOCTLS për të fshirë skedarët e pajisjes mtd.
Në të majtë, AcidRain; në të djathtë, VPNFilter
Ekzistojnë gjithashtu ndryshime të dukshme midis shtojcës ‘dstr’ të VPNFilter dhe AcidRain. Ky i fundit duket të jetë një produkt shumë më i ‘ngathët’ që nuk arrin vazhdimisht në standardet e kodimit të të parës. Për shembull, vini re përdorimin e tepërt të pirjes së procesit dhe përsëritjen e panevojshme të operacioneve.
Ata gjithashtu duket se shërbejnë për qëllime të ndryshme, me shtojcën VPNFilter që synon pajisje specifike të koduara, dhe AcidRain merr më shumë një qasje “një-binar për të gjithë” për fshirjen e pajisjeve. Duke i detyruar emrat e skedarëve të pajisjeve, sulmuesit mund të ripërdorin më lehtë AcidRain kundër objektivave të ndryshëm.
Konkluzione
Ndërsa shqyrtojmë atë që është ndoshta sulmi kibernetik më i rëndësishëm në pushtimin e vazhdueshëm rus të Ukrainës, ka shumë pyetje të hapura. Pavarësisht deklaratës së Viasat që pretendonte se nuk kishte asnjë sulm të zinxhirit të furnizimit ose përdorim të kodit me qëllim të keq në ruterat e prekur.
Ndërsa ne nuk mund ta lidhim përfundimisht AcidRain me VPNFilter (ose grupin më të madh të kërcënimit të krimbit të rërës), ne vërejmë një vlerësim mesatar të besimit të ngjashmërive zhvillimore jo të parëndësishme midis komponentëve të tyre dhe shpresojmë që komuniteti i kërkimit do të vazhdojë të kontribuojë në gjetjet e tyre.
