Ukrainekrieg: Wiper legte Satelliten-Netzwerk lahm

Die russische Schadsoftware Acidrain ist für den Ausfall des KA-SAT-Satellitennetzwerkes in Europa verantwortlich.

Artikel veröffentlicht am ,
Viasat betreibt das Satellitennetzwerk KA-SAT.
Viasat betreibt das Satellitennetzwerk KA-SAT. (Bild: REUTERS/Mike Blake)

Das KA-SAT-Satellitennetzwerk des Anbieters Viasat war mit dem Angriff Russlands auf die Ukraine ausgefallen. In der Folge konnten unter anderem 5.800 Windkrafträder der Firma Enercon nicht mehr ferngesteuert werden. Nach einer Untersuchung der Sicherheitsfirma Sentinelone soll hierfür eine Schadsoftware verantwortlich gewesen sein, welche die Forscher Acidrain nennen. Bei dieser soll es sich um einen Wiper handeln, der Daten löscht und dadurch Geräte unbrauchbar macht.

Stellenmarkt
  1. Junior Projektmanager / Berater SAP Logistik (m/w/d)
    BWI GmbH, deutschlandweit
  2. IT-Security Architekt (m/w/d)
    Mojn GmbH, Bremen
Detailsuche

Der Wiper hätte es dabei auf die Modems der Kunden des Anbieters Viasat abgesehen und soll mehrere technische Ähnlichkeiten zu einem Wiper-Modul der Schadsoftware VPNFilter aufweisen, die vor einigen Jahren aktiv war und über 500.000 Heim- und Büromodems infiziert hatte.

FBI und NSA ordneten die Schadsoftware damals der Hackergruppe Sandworm zu, die zum russischen Militärgeheimdienst GRU gehören soll. Die Gruppe soll auch für den Wiper Notpetya verantwortlich sein, der ursprünglich Rechner in der Ukraine infizierte, später jedoch weltweit bei Konzernen und Unternehmen zu IT-Ausfällen führte.

Entsprechend vermutet Sentinelone, dass auch der aktuelle Modem-Wiper aus Russland stammt. Damit würde es sich nach Whisperkill, Whispergate, Hermeticwiper, Isaacwiper, Caddywiper und Doublezero bereits um die siebte Wiper-Malware handeln, die mit Bezug zum Ukrainekrieg Russland zugeordnet wird. So wurden schon im Vorfeld, aber auch mit Beginn des Angriffskrieges Wiper auf ukrainischen Rechnern und teils sogar bei Firmen in EU-Staaten entdeckt. Allerdings ist die Attribution von Hackerangriffen oder Malware generell schwierig.

Viasat bestätigt Erklärung von Sentinelone

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    22./23.09.2022, virtuell
Weitere IT-Trainings

Laut Viasat benutzten die Angreifer eine fehlerhaft konfigurierte VPN-Anwendung, um sich Zugang zur Management-Software des KA-SAT-Netzwerkes zu verschaffen. Diese nutzten sie, um "legitime, gezielte Verwaltungsbefehle auf einer großen Anzahl von privaten Modems gleichzeitig auszuführen".

"Es bleibt unklar, wie legitime Befehle eine derart störende Wirkung auf die Modems haben konnten", schreibt Sentinelone und geht davon aus, dass der Zugang zu der Management-Software für einen Supply-Chain-Angriff verwendet wurde, bei welchem ein Update an die Surfbeam-Modems ausgespielt wurde. Das verteilte Update soll den Wiper Acidrain enthalten und anschließend Schlüssel im Flashspeicher der Modems überschrieben haben.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Dadurch könnten die Modems keine Verbindung mehr zum KA-SAT-Netzwerk aufbauen und müssten neu geflasht werden oder seien komplett unbrauchbar. Viasat hatte in einer Analyse zuvor betont, dass die Modems "nicht dauerhaft unbrauchbar wurden". Ein Satelliten-Vermarkter hat jedoch bereits Ende März in seinem Kundenforum bekannt gegeben, dass die betroffenen Modems ausgetauscht werden müssten.

Infolge der Analyse von Sentinelone hat Viasat bestätigt, dass bei dem Angriff eine "destruktive Schadsoftware" eingesetzt wurde, die als Update auf die betroffenen Modems ausgeliefert wurde. Die Angriffe auf das KA-SAT-Netzwerk dauern laut Viasat weiter an. Zu den KA-SAT-Kunden soll auch die ukrainische Polizei und das dortige Militär gehören.

Alle aktuellen Golem.de-Artikel und weitere News zum Ukraine-Krieg finden sich in unserem Liveblog.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  2. Verifone: Bundesweite Störung von Girokarten-Terminals
    Verifone
    Bundesweite Störung von Girokarten-Terminals

    In vielen Geschäften lässt sich derzeit nur bar bezahlen. Ursache ist wohl ein Softwarefehler in Kartenzahlungsterminals für Giro- und Kreditkarten.

  3. Cerebras WSE-2: München verbaut riesigen KI-Chip
    Cerebras WSE-2
    München verbaut riesigen KI-Chip

    Als erster Standort in Europa hat das Leibniz-Rechenzentrum (LRZ) ein CS-2-System mit Cerebras' WSE-2 gekauft, welches effizient und schnell ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /