Im Zuge eines russischen Cyberangriffs auf die ukrainischen Satelliten-Modems des Betreibers Viasat kam es auch in anderen europäischen Staaten zu Störungen. So waren etwa 5.800 Enercon-Windturbinen in Deutschland nicht mehr über ihre Fernüberwachungsfunktionen zu steuern.

Viasat hat den Vorfall inzwischen untersucht und dazu am Mittwoch einen Bericht herausgegeben, der die Sicherheitsexperten des Unternehmens Sentinel Labs nicht vollends überzeugt. Sie haben daher einen eigenen Bericht veröffentlicht, in dem sie die Funktionsweise einer neuen Malware beschreiben, die sie „Acidrain“ nennen.

Viasat hatte zuvor erläutert, die Angreifer hätten eine falsch konfigurierte VPN-Appliance ausgenutzt und sich Zugang zum Trust-Management des KA-SAT-Netzwerks verschafft. Dann hätten sie sich seitlich bewegt, um dadurch erlangte Zugriffsmöglichkeiten zu nutzen, um „legitime, gezielte Verwaltungsbefehle auf einer großen Anzahl von privaten Modems gleichzeitig auszuführen“. Viasat fügte hinzu, dass „diese destruktiven Befehle Schlüsseldaten im Flash-Speicher der Modems überschrieben haben, wodurch die Modems nicht mehr auf das Netzwerk zugreifen konnten, aber nicht dauerhaft unbrauchbar wurden“.

Für die Sentinel-Labs-Experten ist diese Erklärung mindestens verkürzt, wenn nicht sogar in Teilen falsch. Das könnte an die Aussage eines ehemaligen Innenministers, der Fakten zurückhielt, weil „Teile davon die Öffentlichkeit beunruhigen könnten“, erinnern. So gehen die Sicherheitsexperten davon aus, dass „der Bedrohungsakteur“ den KA-SAT-Verwaltungsmechanismus vielmehr dazu genutzt hat, einen für Modems und Router konzipierten Wiper einzuschleusen. Ein Wiper für diese Art von Geräten würde Schlüsseldaten im Flash-Speicher des Modems überschreiben, sodass es nicht mehr funktioniert und neu geflasht oder ausgetauscht werden muss.

Diesen Verdacht hat das Sentinel-Labs-Team nicht aus der Luft gegriffen, sondern anhand verschiedener Auffälligkeiten dokumentiert. So war den Experten nach eigenen Angaben am Dienstag, dem 15. März 2022, ein verdächtiger Upload aufgefallen. Aus Italien wurde eine Binärdatei unter dem Namen „ukrop“ auf Virus-Total hochgeladen. Aus dem Namen konstruierten sie zwei mögliche Langversionen, nämlich „ukr“aine „op“eration, das Akronym für die Ukrainische Vereinigung der Patrioten oder eine russische ethnische Verunglimpfung von Ukrainern – „Укроп“.

Ob die Datei beim Viasat-Vorfall eine Rolle spielte, können die Sicherheitsforschenden nicht sicher sagen, gehen aber anhand ihrer Indizien davon aus und nennen die Malware „Acidrain“. Damit handele es sich bereits um die siebte Wiper-Malware, die mit der russischen Invasion in der Ukraine in Verbindung gebracht wird.

Die Funktionsweise von Acidrain sei relativ einfach und erfordere einen Bruteforce-Versuch. Das spreche entweder für eine Unkenntnis der Entwickelnden bezogen auf die Ziel-Firmware oder lasse darauf schließen, dass selbige das Tool allgemein und wiederverwendbar halten wollten.

Jedenfalls führe die Malware eine gründliche Löschung des Dateisystems und verschiedener bekannter Speichergerätedateien durch. Sie sei klar darauf angelegt, Modems und Router zu zerstören und weise in der Programmierung Ähnlichkeiten zur destruktiven Malware VPN-Filter auf. Auch VPN-Filter ist als modulare Malware angelegt, die allerdings auf SOHO-Router und QNAP-Speichergeräte abzielt.

Ihre Funktionalität reicht vom Diebstahl von Zugangsdaten über die Überwachung von Protokollen bis hin zum Löschen und Zerstören von Geräten sowie zum DDoS-Angriff auf ein beliebiges Ziel. VPN-Filter wird von der US-Bundespolizei FBI der russischen Hackergruppe Sandworm zugeschrieben. Sandworm, eigentlich Einheit 74455, ist die amerikanische Bezeichnung für eine Cracking-Gruppe des russischen Militärgeheimdienstes GRU.

Für die VPN-Filter-Malware wurden in der Folge eine Reihe von Plugins geschrieben. Eines davon hört auf den Namen „dstr“. Verlängert wohl als „Destroy“ auszusprechen, handelt es sich um ein „Zerstörungs“-Modul, das die angegriffenen Modems löschen sollte. Der Code dieses Plugins soll laut Sentinel Labs zu über 50 Prozent mit dem der Acidrain-Malware übereinstimmen.

Sentinel Labs impliziert damit einen russisch gesteuerten Angriff auf Kommunikations-Hardware, der sich nicht auf die Ukraine begrenzt und dessen Auswirkungen womöglich zukünftig noch zunehmen könnten, wenn die Annahme stimmt, dass Acidrain aufgrund seiner Funktionsweise auf unzähligen Geräten installiert sein und auf seinen Einsatz warten könnte.

Acidrain ist die siebte Wiper-Malware, die seit Anfang des Jahres auf dem Schirm der Sentinel-Labs-Experten aufgetaucht ist. Bekannt sind zudem die Bedrohungstools Whisperkill, Whispergate, Hermeticwiper, Isaacwiper, Caddywiper und Doublezero. Alle diese Malwares haben die Ukraine als primäres Angriffsziel – bis jetzt.