Ukrainekrieg: Wiper legte Satelliten-Netzwerk lahm

Das KA-SAT-Satellitennetzwerk des Anbieters Viasat war mit dem Angriff Russlands auf die Ukraine ausgefallen. In der Folge konnten unter anderem 5.800 Windkrafträder der Firma Enercon nicht mehr ferngesteuert werden. Nach einer Untersuchung der Sicherheitsfirma Sentinelone soll hierfür eine Schadsoftware verantwortlich gewesen sein, welche die Forscher Acidrain nennen. Bei dieser soll es sich um einen Wiper handeln, der Daten löscht und dadurch Geräte unbrauchbar macht.

Der Wiper hätte es dabei auf die Modems der Kunden des Anbieters Viasat abgesehen und soll mehrere technische Ähnlichkeiten zu einem Wiper-Modul der Schadsoftware VPNFilter aufweisen, die vor einigen Jahren aktiv war und über 500.000 Heim- und Büromodems infiziert hatte.

FBI und NSA ordneten die Schadsoftware damals der Hackergruppe Sandworm zu, die zum russischen Militärgeheimdienst GRU gehören soll. Die Gruppe soll auch für den Wiper Notpetya verantwortlich sein, der ursprünglich Rechner in der Ukraine infizierte, später jedoch weltweit bei Konzernen und Unternehmen zu IT-Ausfällen führte.

Entsprechend vermutet Sentinelone, dass auch der aktuelle Modem-Wiper aus Russland stammt. Damit würde es sich nach Whisperkill, Whispergate, Hermeticwiper, Isaacwiper, Caddywiper und Doublezero bereits um die siebte Wiper-Malware handeln, die mit Bezug zum Ukrainekrieg Russland zugeordnet wird. So wurden schon im Vorfeld, aber auch mit Beginn des Angriffskrieges Wiper auf ukrainischen Rechnern und teils sogar bei Firmen in EU-Staaten entdeckt. Allerdings ist die Attribution von Hackerangriffen oder Malware generell schwierig.

Viasat bestätigt Erklärung von Sentinelone

Laut Viasat benutzten die Angreifer eine fehlerhaft konfigurierte VPN-Anwendung, um sich Zugang zur Management-Software des KA-SAT-Netzwerkes zu verschaffen. Diese nutzten sie, um "legitime, gezielte Verwaltungsbefehle auf einer großen Anzahl von privaten Modems gleichzeitig auszuführen".

"Es bleibt unklar, wie legitime Befehle eine derart störende Wirkung auf die Modems haben konnten", schreibt Sentinelone und geht davon aus, dass der Zugang zu der Management-Software für einen Supply-Chain-Angriff verwendet wurde, bei welchem ein Update an die Surfbeam-Modems ausgespielt wurde. Das verteilte Update soll den Wiper Acidrain enthalten und anschließend Schlüssel im Flashspeicher der Modems überschrieben haben.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Dadurch könnten die Modems keine Verbindung mehr zum KA-SAT-Netzwerk aufbauen und müssten neu geflasht werden oder seien komplett unbrauchbar. Viasat hatte in einer Analyse zuvor betont, dass die Modems "nicht dauerhaft unbrauchbar wurden". Ein Satelliten-Vermarkter hat jedoch bereits Ende März in seinem Kundenforum bekannt gegeben, dass die betroffenen Modems ausgetauscht werden müssten.

Infolge der Analyse von Sentinelone hat Viasat bestätigt, dass bei dem Angriff eine "destruktive Schadsoftware" eingesetzt wurde, die als Update auf die betroffenen Modems ausgeliefert wurde. Die Angriffe auf das KA-SAT-Netzwerk dauern laut Viasat weiter an. Zu den KA-SAT-Kunden soll auch die ukrainische Polizei und das dortige Militär gehören.

Alle aktuellen Golem.de-Artikel und weitere News zum Ukraine-Krieg finden sich in unserem Liveblog.