News
SentinelLabs de SentinelOne a découvert un nouveau malware d’origine russe : AcidRain
avril 2022 par SentinelLabs
Le 24 février dernier, une cyberattaque a rendu inopérants les modems KA-SAT de Viasat en Ukraine. À la suite de cette attaque la communication, pour la surveillance ou le contrôle à distance, de 5 800 éoliennes Enercon basées en Allemagne a été coupée. En investiguant en détail sur cette attaque, les chercheurs de SentinelLabs ont découvert un nouveau malware (ELF MIPS) nommé ’AcidRain’ conçu pour supprimer des modems et des routeurs. AcidRain est le 7ème malware de type wiper associé à l’invasion russe en Ukraine.
Les experts de SentineLabs ont été avertis d’un problème avec les routeurs Viasat KA-SAT à la suite d’une panne de 5 800 éoliennes Enercon en Allemagne. Ces éoliennes n’étaient pas inopérantes mais "la surveillance et le contrôle à distance des éoliennes" sont devenus impossibles en raison de problèmes de communication par satellite. L’incident a coïncidé avec l’invasion de l’Ukraine par la Russie et il semblerait que la tentative de neutralisation des capacités de commande et de contrôle de l’armée ukrainienne, en entravant la connectivité par satellite, aurait eu des répercussions sur les infrastructures critiques allemandes.
Fin mars, Viasat a finalement publié une déclaration indiquant que l’attaque s’est déroulée en deux phases : une attaque par déni de service provenant de "plusieurs modems SurfBeam2 et SurfBeam2+ et [...] d’autres équipements sur site...] physiquement situés en Ukraine" qui a temporairement mis hors ligne les modems KA-SAT. Puis, la disparition progressive des modems du service Viasat.
SentinelLabs estime qu’il s’agit probablement de la plus importante cyberattaque dans le cadre de l’invasion russe en cours en Ukraine, toutefois de nombreuses questions restent en suspens. Malgré la déclaration de Viasat affirmant qu’il n’y a pas eu d’attaque visant la chaîne logistique ou d’utilisation de code malveillant sur les routeurs affectés, SentinelLabs propose une autre hypothèse : les attaquants auraient déployé AcidRain (et peut-être d’autres binaires et scripts) sur ces équipements afin de mener leur opération.
Bien qu’aucun lien définitif ne puisse être établi entre AcidRain et VPNFilter (ou le plus grand groupe de menaces Sandworm), SentinelLabs a noté des similitudes de développement non triviales entre leurs modes opératoires.
L’invasion de l’Ukraine par la Russie a donné lieu à une multitude de cyber attaques. Depuis le début de l’année 2022, six souches différentes de logiciels malveillants wiper ciblant l’Ukraine ont été identifiées : WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper et DoubleZero.
