Giải mã cuộc tấn công làm tê liệt hàng vạn modem vệ tinh Viasat ở Ukraine và châu Âu

Khoa học - công nghệ - Ngày đăng : 12:16, 01/04/2022

AcidRain là wiper malware (phần mềm độc hại xóa sạch dữ) liên quan đến cuộc tấn công Ukraine của Nga.

Đầu tháng 3.2022, Viasat, nhà cung cấp internet băng thông rộng - vệ tinh tốc độ cao của Mỹ có hàng chục ngàn modem bị làm tê liệt ở Ukraine và các khu vực khác ở châu Âu, đã xác nhận một giả thuyết từ các nhà nghiên cứu bên thứ ba rằng AcidRain là nguyên nhân gây ra vụ tấn công. 

Trong báo cáo được công bố hôm 31.3, các nhà nghiên cứu tại công ty SentinelOne (Mỹ) cho biết đã phát hiện ra AcidRain. Các nhà nghiên cứu nói AcidRain đã chia sẻ nhiều điểm tương đồng về kỹ thuật với các phần của VPNFilter, phần mềm độc hại đã lây nhiễm hơn 500.000 modem gia đình và văn phòng nhỏ ở Mỹ.

Nhiều cơ quan chính phủ Mỹ, đầu tiên là FBI và các tổ chức khác gồm cả Cơ quan An ninh Quốc gia, đều quy phần mềm độc hại modem cho các tác nhân đe dọa.

Hai nhà nghiên cứu Juan Andres Guerrero-Saade và Max van Amerongen của SentinelOne cho rằng AcidRain đã được sử dụng trong cuộc tấn công mạng phá hoại hàng chục ngàn modem mà khách hàng của Viasat sử dụng.

AcidRain được thiết kế để tấn công tên file thiết bị và xóa sạch mọi file được tìm thấy, giúp dễ dàng triển khai lại ở các cuộc tấn công trong tương lai.

AcidRain lần đầu tiên được phát hiện vào ngày 15.3 sau khi tải lên nền tảng phân tích phần mềm độc hại VirusTotal từ một địa chỉ IP ở Ý dưới dạng file nhị phân MIPS ELF 32-bit sử dụng tên ukrop.

Sau khi được triển khai, AcidRain sẽ đi qua toàn bộ hệ thống file của bộ định tuyến hoặc modem bị xâm phạm. Nó cũng xóa sạch bộ nhớ flash, thẻ SD/MMC và bất kỳ thiết bị khối ảo nào được tìm thấy, sử dụng tất cả số nhận dạng thiết bị có thể có.

Trong khi SentinelOne nói rằng không thể chắc chắn giả thuyết của họ là chính xác, đại diện Viasat nhanh chóng khẳng định điều này là đúng. Viasat cũng nói rằng phát hiện này phù hợp với bản báo cáo ngắn gọn mà công ty đã công bố hôm 30.3.

Viasat đã viết: “Phân tích trong báo cáo SentinelLabs liên quan đến nhị phân ukrop phù hợp với các dữ kiện trong báo cáo của chúng tôi. Cụ thể, SentinelLabs xác định file thực thi phá hủy được chạy trên modem bằng lệnh quản lý hợp pháp như Viasat mô tả trước đây. Như đã lưu ý trong báo cáo của chúng tôi: Kẻ tấn công đã di chuyển ngang qua mạng quản lý đáng tin cậy này đến một phân đoạn mạng cụ thể được sử dụng để quản lý và vận hành mạng, sau đó sử dụng quyền truy cập mạng này để thực hiện các lệnh quản lý hợp pháp, có mục tiêu trên một số lượng lớn modem dân cư đồng thời".

Các nhà nghiên cứu viết: “Bất chấp những gì mà cuộc tấn công Ukraine đã dạy cho chúng tôi, wiper malware là tương đối hiếm. Hơn thế nữa, wiper malware nhắm vào bộ định tuyến, modem hoặc thiết bị IoT".

giai-ma-cuoc-tan-cong-lam-te-liet-hang-van-modem-ve-tinh-cua-viasat.jpeg
Một chão vệ tinh internet Viasat trong sân ngôi nhà ở Madison, bang Virginia, Mỹ - Getty

Báo cáo của Viasat hôm 30.3 cho biết những kẻ xâm nhập đã lợi dụng một thiết bị mạng riêng ảo (VPN) bị cấu hình sai để truy cập từ xa vào mạng quản lý vệ tinh KA-SAT của công ty, do Skylogic (công ty có trụ sở tại Ý) điều hành và phục vụ khách hàng trên khắp châu Âu. Sau đó, hacker mở rộng phạm vi tiếp cận sang các phân khúc khác cho phép chúng thực hiện đồng thời các lệnh quản lý hợp pháp, được nhắm mục tiêu trên một số lượng lớn modem dân dụng. Cụ thể, các lệnh phá hoại này ghi đè dữ liệu quan trọng trong bộ nhớ flash trên modem, khiến modem không thể truy cập mạng và vĩnh viễn không sử dụng được".

Làm thế nào mà các tác nhân đe dọa có được quyền truy cập vào VPN vẫn chưa rõ ràng.

Cũng trong ngày 31.3, nhà nghiên cứu bảo mật độc lập Ruben Santamarta đã công bố một phân tích phát hiện ra các lỗ hổng có trong một số firmware chạy trên các thiết bị đầu cuối SATCOM bị gián đoạn sau cuộc tấn công. Một là thất bại trong việc xác thực mã hóa firmware mới trước khi cài đặt nó. Một loại khác là "lỗ hổng chèn nhiều lệnh có thể bị khai thác một cách vặt vãnh từ một ACS độc hại".

ACS dường như đề cập đến cơ chế được gọi là máy chủ cấu hình tự động được tìm thấy trong một giao thức được sử dụng bởi modem.

"Tôi không nói rằng những vấn đề này thực sự bị những kẻ tấn công lạm dụng, nhưng chắc chắn là nó trông không tốt lắm. Hy vọng rằng những lỗ hổng này không còn xuất hiện trong firmware Viasat mới nhất, nếu không đó sẽ là một vấn đề", Ruben Santamarta viết.

Rõ ràng vẫn còn rất nhiều bí ẩn xoay quanh việc vô hiệu hóa các modem Viasat. Song xác nhận rằng AcidRain chịu trách nhiệm là bước đột phá quan trọng.

Tôi rất vui vì Viasat đồng tình với những phát hiện của chúng tôi về AcidRain. Tôi hy vọng họ sẽ có thể chia sẻ nhiều hơn những phát hiện của họ. Còn rất nhiều điều cần tìm hiểu trong trường hợp này", Guerrero-Saade viết.

Cơ quan tình báo Mỹ truy tìm hacker phá hoại internet vệ tinh của Viasat

Các nhà phân tích của Cơ quan An ninh Quốc gia Mỹ, tổ chức an ninh mạng ANSSI của chính phủ Pháp và tình báo Ukraine đang đánh giá xem liệu vụ phá hoại từ xa dịch vụ Viasat có phải là hành động của các hacker từ Nga không.

Một trong những cuộc tấn công mạng quan trọng nhất trong thời chiến được tiết lộ công khai đến nay đã thu hút sự quan tâm của tình báo phương Tây vì Viasat đóng vai trò là nhà thầu quốc phòng cho cả Mỹ và nhiều đồng minh.

Các hợp đồng chính phủ mà hãng tin Reuters thu thập được cho thấy KA-SAT cung cấp kết nối internet cho các đơn vị quân đội và cảnh sát Ukraine.

Theo Pablo Breuer, cựu kỹ sư công nghệ của Bộ chỉ huy các hoạt động đặc biệt của Mỹ (SOCOM), việc loại bỏ kết nối internet vệ tinh có thể làm mất khả năng của Ukraine trong việc chống lại các lực lượng Nga.

Pablo Breuer cho biết: "Nếu đang sử dụng các hệ thống thông minh hiện đại, vũ khí thông minh, cố gắng thực hiện các cuộc diễn tập vũ khí kết hợp, bạn phải dựa vào các vệ tinh này".

Nga đã nhiều lần bác bỏ các cáo buộc rằng họ tham gia vào các cuộc tấn công mạng.

Bao vây các thành phố Ukraine, Nga bị phương Tây cáo buộc tấn công vô cớ và dẫn đến các biện pháp trừng phạt nghiêm khắc nước này.

Theo Jaroslav Stritecky, người điều hành công ty viễn thông INTV (Cộng hòa Séc), các modem bị ảnh hưởng dường như không hoạt động hoàn toàn. Ông nói thông thường, 4 đèn trạng thái trên modem SurfBeam 2 của Viasat sẽ cho biết chúng đã được kết nối với internet chưa. Sau cuộc tấn công mạng, đèn trên các modem do Viasat sản xuất hoàn toàn không bật.

Trước đó, quan chức Viasat nói một cấu hình sai trong phần Management của mạng vệ tinh cho phép hacker truy cập từ xa vào modem, khiến chúng ngoại tuyến. Ông cho biết hầu hết các thiết bị bị ảnh hưởng sẽ cần được lập trình lại tại chỗ bởi kỹ thuật viên hoặc tại kho sửa chữa và một số thiết bị sẽ phải thay thế.

KA-SAT và các trạm mặt đất liên quan, mà Viasat đã mua năm ngoái từ công ty Eutelsat (Pháp), vẫn được điều hành bởi một công ty con của Eutelsat.

Viasat đã thuê công ty an ninh mạng Mandiant (Mỹ), chuyên theo dõi các hacker do nhà nước tài trợ, để điều tra vụ xâm nhập, theo hai người quen thuộc với vấn đề này.

Viasat nói các khách hàng chính phủ mua dịch vụ trực tiếp từ công ty không bị ảnh hưởng bởi sự gián đoạn. Tuy nhiên, mạng KA-SAT được vận hành bởi một bên thứ ba, do đó mạng lưới này sẽ cung cấp dịch vụ thông qua các nhà phân phối khác nhau.

Trong vài năm qua, các dịch vụ quân sự và an ninh Ukraine đã mua một số hệ thống liên lạc khác nhau chạy qua mạng của Viasat, theo các hợp đồng được đăng trên ProZorro (nền tảng minh bạch của Ukraine).

Một số nhà phân phối internet vẫn đang chờ được thay thế thiết bị của họ.

Jaroslav Stritecky nói không đổ lỗi cho Viasat. Ông nhớ lại mình đã đi làm vào buổi sáng 24.2, nhìn thấy màn hình hiển thị vùng phủ sóng vệ tinh khu vực ở Cộng hòa Czech, Slovakia và Ukraine đều có màu đỏ (tức mất kết nối).

Sơn Vân