Ukrainekrieg: Wiper legte Satelliten-Netzwerk lahm

Die russische Schadsoftware Acidrain ist für den Ausfall des KA-SAT-Satellitennetzwerkes in Europa verantwortlich.

Artikel veröffentlicht am ,
Viasat betreibt das Satellitennetzwerk KA-SAT.
Viasat betreibt das Satellitennetzwerk KA-SAT. (Bild: REUTERS/Mike Blake)

Das KA-SAT-Satellitennetzwerk des Anbieters Viasat war mit dem Angriff Russlands auf die Ukraine ausgefallen. In der Folge konnten unter anderem 5.800 Windkrafträder der Firma Enercon nicht mehr ferngesteuert werden. Nach einer Untersuchung der Sicherheitsfirma Sentinelone soll hierfür eine Schadsoftware verantwortlich gewesen sein, welche die Forscher Acidrain nennen. Bei dieser soll es sich um einen Wiper handeln, der Daten löscht und dadurch Geräte unbrauchbar macht.

Stellenmarkt
  1. SharePoint System Engineering Consultant (w/m/d)
    HanseVision GmbH, Bielefeld, Hamburg, Karlsruhe, Neckarsulm, Mobiles Arbeiten
  2. Junior Consultant (m/w/d) Internationale Warensteuerung
    Lidl Digital, Neckarsulm
Detailsuche

Der Wiper hätte es dabei auf die Modems der Kunden des Anbieters Viasat abgesehen und soll mehrere technische Ähnlichkeiten zu einem Wiper-Modul der Schadsoftware VPNFilter aufweisen, die vor einigen Jahren aktiv war und über 500.000 Heim- und Büromodems infiziert hatte.

FBI und NSA ordneten die Schadsoftware damals der Hackergruppe Sandworm zu, die zum russischen Militärgeheimdienst GRU gehören soll. Die Gruppe soll auch für den Wiper Notpetya verantwortlich sein, der ursprünglich Rechner in der Ukraine infizierte, später jedoch weltweit bei Konzernen und Unternehmen zu IT-Ausfällen führte.

Entsprechend vermutet Sentinelone, dass auch der aktuelle Modem-Wiper aus Russland stammt. Damit würde es sich nach Whisperkill, Whispergate, Hermeticwiper, Isaacwiper, Caddywiper und Doublezero bereits um die siebte Wiper-Malware handeln, die mit Bezug zum Ukrainekrieg Russland zugeordnet wird. So wurden schon im Vorfeld, aber auch mit Beginn des Angriffskrieges Wiper auf ukrainischen Rechnern und teils sogar bei Firmen in EU-Staaten entdeckt. Allerdings ist die Attribution von Hackerangriffen oder Malware generell schwierig.

Viasat bestätigt Erklärung von Sentinelone

Golem Karrierewelt
  1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    26./27.09.2022, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    19.-22.09.2022, virtuell
Weitere IT-Trainings

Laut Viasat benutzten die Angreifer eine fehlerhaft konfigurierte VPN-Anwendung, um sich Zugang zur Management-Software des KA-SAT-Netzwerkes zu verschaffen. Diese nutzten sie, um "legitime, gezielte Verwaltungsbefehle auf einer großen Anzahl von privaten Modems gleichzeitig auszuführen".

"Es bleibt unklar, wie legitime Befehle eine derart störende Wirkung auf die Modems haben konnten", schreibt Sentinelone und geht davon aus, dass der Zugang zu der Management-Software für einen Supply-Chain-Angriff verwendet wurde, bei welchem ein Update an die Surfbeam-Modems ausgespielt wurde. Das verteilte Update soll den Wiper Acidrain enthalten und anschließend Schlüssel im Flashspeicher der Modems überschrieben haben.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Dadurch könnten die Modems keine Verbindung mehr zum KA-SAT-Netzwerk aufbauen und müssten neu geflasht werden oder seien komplett unbrauchbar. Viasat hatte in einer Analyse zuvor betont, dass die Modems "nicht dauerhaft unbrauchbar wurden". Ein Satelliten-Vermarkter hat jedoch bereits Ende März in seinem Kundenforum bekannt gegeben, dass die betroffenen Modems ausgetauscht werden müssten.

Infolge der Analyse von Sentinelone hat Viasat bestätigt, dass bei dem Angriff eine "destruktive Schadsoftware" eingesetzt wurde, die als Update auf die betroffenen Modems ausgeliefert wurde. Die Angriffe auf das KA-SAT-Netzwerk dauern laut Viasat weiter an. Zu den KA-SAT-Kunden soll auch die ukrainische Polizei und das dortige Militär gehören.

Alle aktuellen Golem.de-Artikel und weitere News zum Ukraine-Krieg finden sich in unserem Liveblog.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Mercedes-Benz EQE im Praxistest
Im Wendekreis des Polo

Die Businesslimousine EQE von Mercedes-Benz überzeugt im Praxistest mit hoher Reichweite und Komfort. Doch welchen Schnickschnack braucht man wirklich?
Ein Praxistest von Friedhelm Greis

Mercedes-Benz EQE im Praxistest: Im Wendekreis des Polo
Artikel
  1. Windows XP: Janet Jacksons Popsong brachte Laptops zum Absturz
    Windows XP
    Janet Jacksons Popsong brachte Laptops zum Absturz

    Einmal laut Rhythm Nation gehört, schon stürzte Windows XP ab: Microsoft-Entwickler Chen erzählt vom skurillen Verhalten alter Notebooks.

  2. Post-Quanten-Kryptografie: Die neuen Kryptoalgorithmen gegen Quantencomputer
    Post-Quanten-Kryptografie
    Die neuen Kryptoalgorithmen gegen Quantencomputer

    Die US-Behörde NIST standardisiert neue Public-Key-Algorithmen - um vor zukünftigen Quantencomputern sicher zu sein.
    Eine Analyse von Hanno Böck

  3. Spider-Man Remastered: Dateien enthalten Hinweise auf Playstation PC Launcher
    Spider-Man Remastered
    Dateien enthalten Hinweise auf Playstation PC Launcher

    Sony arbeitet an einem Launcher für Playstation-Spiele auf Windows-PC. Das dürfte weitreichende Folgen haben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar bei Amazon & Co. • MSI Geburtstags-Rabatte auf Gaming-Monitore & PCs • Neuer Saturn-Flyer • Game of Thrones reduziert • MindStar (MSI RTX 3070 599€) • Günstig wie nie: Zotac RTX 3080 12GB 829€, Samsung SSD 1TB/2TB (PS5) 111€/199,99€ • Bester 2.000€-Gaming-PC[Werbung]
    •  /