Anzeige
Anzeige
News
Artikel merken

Russischer Cyberkrieg trifft Europa: Acidrain-Malware kann massenhaft Modems löschen

Mit dem Start des russischen Überfalls auf die Ukraine wurden die dortigen Satelliten-Modems von Viasat durch einen Cyberangriff funktionsunfähig gemacht. Die dafür eingesetzte Malware scheint noch mehr zu können.

3 Min. Lesezeit
Anzeige
Anzeige

Russische Malware kann Kommunikations-Hardware in ganz Europa lahmlegen. (Foto: REDPIXEL.PL / Shutterstock)

Im Zuge eines russischen Cyberangriffs auf die ukrainischen Satelliten-Modems des Betreibers Viasat kam es auch in anderen europäischen Staaten zu Störungen. So waren etwa 5.800 Enercon-Windturbinen in Deutschland nicht mehr über ihre Fernüberwachungsfunktionen zu steuern.

Enercon-Ausfall: Satellitenbetreiber Viasat wiegelt ab

Anzeige
Anzeige

Viasat hat den Vorfall inzwischen untersucht und dazu am Mittwoch einen Bericht herausgegeben, der die Sicherheitsexperten des Unternehmens Sentinel Labs nicht vollends überzeugt. Sie haben daher einen eigenen Bericht veröffentlicht, in dem sie die Funktionsweise einer neuen Malware beschreiben, die sie „Acidrain“ nennen.

Viasat hatte zuvor erläutert, die Angreifer hätten eine falsch konfigurierte VPN-Appliance ausgenutzt und sich Zugang zum Trust-Management des KA-SAT-Netzwerks verschafft. Dann hätten sie sich seitlich bewegt, um dadurch erlangte Zugriffsmöglichkeiten zu nutzen, um „legitime, gezielte Verwaltungsbefehle auf einer großen Anzahl von privaten Modems gleichzeitig auszuführen“. Viasat fügte hinzu, dass „diese destruktiven Befehle Schlüsseldaten im Flash-Speicher der Modems überschrieben haben, wodurch die Modems nicht mehr auf das Netzwerk zugreifen konnten, aber nicht dauerhaft unbrauchbar wurden“.

Anzeige
Anzeige

Für die Sentinel-Labs-Experten ist diese Erklärung mindestens verkürzt, wenn nicht sogar in Teilen falsch. Das könnte an die Aussage eines ehemaligen Innenministers, der Fakten zurückhielt, weil „Teile davon die Öffentlichkeit beunruhigen könnten“, erinnern. So gehen die Sicherheitsexperten davon aus, dass „der Bedrohungsakteur“ den KA-SAT-Verwaltungsmechanismus vielmehr dazu genutzt hat, einen für Modems und Router konzipierten Wiper einzuschleusen. Ein Wiper für diese Art von Geräten würde Schlüsseldaten im Flash-Speicher des Modems überschreiben, sodass es nicht mehr funktioniert und neu geflasht oder ausgetauscht werden muss.

Anzeige
Anzeige

Experten finden verdächtige Binärdatei

Diesen Verdacht hat das Sentinel-Labs-Team nicht aus der Luft gegriffen, sondern anhand verschiedener Auffälligkeiten dokumentiert. So war den Experten nach eigenen Angaben am Dienstag, dem 15. März 2022, ein verdächtiger Upload aufgefallen. Aus Italien wurde eine Binärdatei unter dem Namen „ukrop“ auf Virus-Total hochgeladen. Aus dem Namen konstruierten sie zwei mögliche Langversionen, nämlich „ukr“aine „op“eration, das Akronym für die Ukrainische Vereinigung der Patrioten oder eine russische ethnische Verunglimpfung von Ukrainern – „Укроп“.

Ob die Datei beim Viasat-Vorfall eine Rolle spielte, können die Sicherheitsforschenden nicht sicher sagen, gehen aber anhand ihrer Indizien davon aus und nennen die Malware „Acidrain“. Damit handele es sich bereits um die siebte Wiper-Malware, die mit der russischen Invasion in der Ukraine in Verbindung gebracht wird.

Anzeige
Anzeige

Die Funktionsweise von Acidrain sei relativ einfach und erfordere einen Bruteforce-Versuch. Das spreche entweder für eine Unkenntnis der Entwickelnden bezogen auf die Ziel-Firmware oder lasse darauf schließen, dass selbige das Tool allgemein und wiederverwendbar halten wollten.

Acidrain ähnelt VPN-Filter

Jedenfalls führe die Malware eine gründliche Löschung des Dateisystems und verschiedener bekannter Speichergerätedateien durch. Sie sei klar darauf angelegt, Modems und Router zu zerstören und weise in der Programmierung Ähnlichkeiten zur destruktiven Malware VPN-Filter auf. Auch VPN-Filter ist als modulare Malware angelegt, die allerdings auf SOHO-Router und QNAP-Speichergeräte abzielt.

Ihre Funktionalität reicht vom Diebstahl von Zugangsdaten über die Überwachung von Protokollen bis hin zum Löschen und Zerstören von Geräten sowie zum DDoS-Angriff auf ein beliebiges Ziel. VPN-Filter wird von der US-Bundespolizei FBI der russischen Hackergruppe Sandworm zugeschrieben. Sandworm, eigentlich Einheit 74455, ist die amerikanische Bezeichnung für eine Cracking-Gruppe des russischen Militärgeheimdienstes GRU.

Anzeige
Anzeige

Für die VPN-Filter-Malware wurden in der Folge eine Reihe von Plugins geschrieben. Eines davon hört auf den Namen „dstr“. Verlängert wohl als „Destroy“ auszusprechen, handelt es sich um ein „Zerstörungs“-Modul, das die angegriffenen Modems löschen sollte. Der Code dieses Plugins soll laut Sentinel Labs zu über 50 Prozent mit dem der Acidrain-Malware übereinstimmen.

Was kommt als Nächstes? Bereitet Russland einen groß angelegten Cyberangriff vor?

Sentinel Labs impliziert damit einen russisch gesteuerten Angriff auf Kommunikations-Hardware, der sich nicht auf die Ukraine begrenzt und dessen Auswirkungen womöglich zukünftig noch zunehmen könnten, wenn die Annahme stimmt, dass Acidrain aufgrund seiner Funktionsweise auf unzähligen Geräten installiert sein und auf seinen Einsatz warten könnte.

Acidrain ist die siebte Wiper-Malware, die seit Anfang des Jahres auf dem Schirm der Sentinel-Labs-Experten aufgetaucht ist. Bekannt sind zudem die Bedrohungstools Whisperkill, Whispergate, Hermeticwiper, Isaacwiper, Caddywiper und Doublezero. Alle diese Malwares haben die Ukraine als primäres Angriffsziel – bis jetzt.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
2 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

termel

Oder für die Datei gibt’s auch einfach keinen Langnamen und es heißt einfach wirklich ukrop = Dill auf russisch. Aber ja, man kann natürlich hinter jedem Namen eine große Geschichte vermuten.

Antworten
Dieter Petereit

Oder man meint, man könnte mal schnell ein Wort in den Übersetzer hauen und einen pseudo-schlauen Spruch klopfen, ohne den Rest des Textes dabei zu berücksichtigen. Geht. Klar.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige