Hôm 10.5, Liên minh châu Âu (EU) cho biết Nga đứng sau cuộc tấn công mạng lớn vào mạng internet vệ tinh khiến hàng vạn modem bị tê liệt khi bắt đầu cuộc chiến ở Ukraine.
Hội đồng Liên minh châu Âu nói cuộc tấn công kỹ thuật số nhắm vào mạng KA-SAT của Viasat (Mỹ) vào cuối tháng 2.2022 vừa qua diễn ra ngay khi thiết giáp của Nga tiến vào Ukraine và tạo điều kiện thuận lợi cho Nga tấn công nước láng giềng.
"Cuộc tấn công mạng này có tác động đáng kể gây ra tình trạng mất liên lạc và gián đoạn với một số cơ quan công quyền, doanh nghiệp và người dùng ở Ukraine, cũng như ảnh hưởng đến một số quốc gia thành viên EU. Cuộc tấn công mạng không thể chấp nhận được này là một ví dụ khác về hành vi của Nga trong không gian mạng, cũng là một phần không thể thiếu trong cuộc tấn công Ukraine", tuyên bố cho biết.
Victor Zhora, Phó Giám đốc Cơ quan Bảo vệ Thông tin và Truyền thông Đặc biệt của Ukraine, nói vào tháng 3.2022 rằng vụ phá hoại từ xa đã gây ra "tổn thất lớn về thông tin liên lạc trong giai đoạn đầu chiến tranh".
Nga thường xuyên phủ nhận thực hiện các hoạt động tấn công mạng. Điện Kremlin đã không trả lời ngay lập tức câu hỏi về vấn đề trên.
Một trong những cuộc tấn công mạng quan trọng nhất trong thời chiến được tiết lộ công khai đến nay đã thu hút sự quan tâm của tình báo phương Tây vì Viasat đóng vai trò là nhà thầu quốc phòng cho cả Mỹ và nhiều đồng minh.
Các cơ quan tình báo phương Tây, bao gồm Cơ quan An ninh Quốc gia Mỹ, tổ chức an ninh mạng ANSSI của chính phủ Pháp và tình báo Ukraine điều tra vai trò tiềm tàng của Nga trong vụ tấn công vài ngày sau đó.
"Đây là bằng chứng rõ ràng và gây sốc về một cuộc tấn công có chủ ý của Nga nhắm vào Ukraine gây hậu quả đáng kể với người dân và doanh nghiệp ở Ukraine cũng như trên toàn châu Âu", Ngoại trưởng Anh - Liz Truss cho biết.
Đầu tháng 3.2022, Viasat, nhà cung cấp internet băng thông rộng - vệ tinh tốc độ cao của Mỹ có hàng chục ngàn modem bị làm tê liệt ở Ukraine và các khu vực khác ở châu Âu, đã xác nhận một giả thuyết từ các nhà nghiên cứu bên thứ ba rằng AcidRain là nguyên nhân gây ra vụ tấn công.
Trong báo cáo được công bố hôm 31.3, các nhà nghiên cứu tại công ty SentinelOne (Mỹ) cho biết đã phát hiện ra AcidRain. Các nhà nghiên cứu nói AcidRain đã chia sẻ nhiều điểm tương đồng về kỹ thuật với các phần của VPNFilter, phần mềm độc hại đã lây nhiễm hơn 500.000 modem gia đình và văn phòng nhỏ ở Mỹ.
Nhiều cơ quan chính phủ Mỹ, đầu tiên là FBI và các tổ chức khác gồm cả Cơ quan An ninh Quốc gia, đều quy phần mềm độc hại modem cho các tác nhân đe dọa.
Hai nhà nghiên cứu Juan Andres Guerrero-Saade và Max van Amerongen của SentinelOne cho rằng AcidRain đã được sử dụng trong cuộc tấn công mạng phá hoại hàng chục ngàn modem mà khách hàng của Viasat sử dụng.
AcidRain được thiết kế để tấn công tên file thiết bị và xóa sạch mọi file được tìm thấy, giúp dễ dàng triển khai lại ở các cuộc tấn công trong tương lai.
AcidRain lần đầu tiên được phát hiện vào ngày 15.3 sau khi tải lên nền tảng phân tích phần mềm độc hại VirusTotal từ một địa chỉ IP ở Ý dưới dạng file nhị phân MIPS ELF 32-bit sử dụng tên ukrop.
Sau khi được triển khai, AcidRain sẽ đi qua toàn bộ hệ thống file của bộ định tuyến hoặc modem bị xâm phạm. Nó cũng xóa sạch bộ nhớ flash, thẻ SD/MMC và bất kỳ thiết bị khối ảo nào được tìm thấy, sử dụng tất cả số nhận dạng thiết bị có thể có.
Trong khi SentinelOne nói rằng không thể chắc chắn giả thuyết của họ là chính xác, đại diện Viasat nhanh chóng khẳng định điều này là đúng. Viasat cũng nói rằng phát hiện này phù hợp với bản báo cáo ngắn gọn mà công ty đã công bố hôm 30.3.
Viasat viết: “Phân tích trong báo cáo SentinelLabs liên quan đến nhị phân ukrop phù hợp với các dữ kiện trong báo cáo của chúng tôi. Cụ thể, SentinelLabs xác định file thực thi phá hủy được chạy trên modem bằng lệnh quản lý hợp pháp như Viasat mô tả trước đây. Như đã lưu ý trong báo cáo của chúng tôi: Kẻ tấn công đã di chuyển ngang qua mạng quản lý đáng tin cậy này đến một phân đoạn mạng cụ thể được sử dụng để quản lý và vận hành mạng, sau đó sử dụng quyền truy cập mạng này để thực hiện các lệnh quản lý hợp pháp, có mục tiêu trên một số lượng lớn modem dân cư đồng thời".
Các nhà nghiên cứu viết: “Bất chấp những gì mà cuộc tấn công Ukraine đã dạy cho chúng tôi, wiper malware là tương đối hiếm. Hơn thế nữa, wiper malware nhắm vào bộ định tuyến, modem hoặc thiết bị IoT".
Báo cáo của Viasat hôm 30.3 cho biết những kẻ xâm nhập đã lợi dụng một thiết bị mạng riêng ảo (VPN) bị cấu hình sai để truy cập từ xa vào mạng quản lý vệ tinh KA-SAT của công ty, do Skylogic (công ty có trụ sở tại Ý) điều hành và phục vụ khách hàng trên khắp châu Âu. Sau đó, hacker mở rộng phạm vi tiếp cận sang các phân khúc khác cho phép chúng thực hiện đồng thời các lệnh quản lý hợp pháp, được nhắm mục tiêu trên một số lượng lớn modem dân dụng. Cụ thể, các lệnh phá hoại này ghi đè dữ liệu quan trọng trong bộ nhớ flash trên modem, khiến modem không thể truy cập mạng và vĩnh viễn không sử dụng được".
Làm thế nào mà các tác nhân đe dọa có được quyền truy cập vào VPN vẫn chưa rõ ràng.
Cũng trong ngày 31.3, nhà nghiên cứu bảo mật độc lập Ruben Santamarta đã công bố một phân tích phát hiện ra các lỗ hổng có trong một số firmware chạy trên các thiết bị đầu cuối SATCOM bị gián đoạn sau cuộc tấn công. Một là thất bại trong việc xác thực mã hóa firmware mới trước khi cài đặt nó. Một loại khác là "lỗ hổng chèn nhiều lệnh có thể bị khai thác một cách vặt vãnh từ một ACS độc hại".
ACS dường như đề cập đến cơ chế được gọi là máy chủ cấu hình tự động được tìm thấy trong một giao thức được sử dụng bởi modem.
"Tôi không nói rằng những vấn đề này thực sự bị những kẻ tấn công lạm dụng, nhưng chắc chắn là nó trông không tốt lắm. Hy vọng rằng những lỗ hổng này không còn xuất hiện trong firmware Viasat mới nhất, nếu không đó sẽ là một vấn đề", Ruben Santamarta viết.
Rõ ràng vẫn còn rất nhiều bí ẩn xoay quanh việc vô hiệu hóa các modem Viasat. Song xác nhận rằng AcidRain chịu trách nhiệm là bước đột phá quan trọng.
“Tôi rất vui vì Viasat đồng tình với những phát hiện của chúng tôi về AcidRain. Tôi hy vọng họ sẽ có thể chia sẻ nhiều hơn những phát hiện của họ. Còn rất nhiều điều cần tìm hiểu trong trường hợp này", Guerrero-Saade viết.