天工实验室 April 7, 2022
2022 年 2 月 24 日,发生了一场针对美国卫星通信提供商 Viasat 下属的 KA-SAT 卫星网络通信系统的攻击。这场攻击影响了乌克兰及其部分欧洲地区的固定宽带客户在其欧洲的 KA-SAT 网络上的互联网服务。下面是 NetBlocks 提供的图表信息。
该次攻击涉及的 KA-SAT 卫星为地球静止轨道卫星(GEO)。该卫星在欧洲和中东的一小部分地区提供宽带互联网接入服务。现有报告表示此次攻击导致数万名欧洲地区用户断网,如乌克兰的卫星服务中断;德国 5,800 台 Enercon 风力涡轮机无法进行远程监控或控制通信;法国电信运营商 Orange 旗下公司 Nordnet 近 9000 名订阅用户无法正常上网;英国卫星互联网服务商 Bigblu 分布在德国、法国、匈牙利、希腊、意大利以及波兰等欧洲各国的4万名用户中约有三分之一同样受到影响。下图为 KA-SAT 卫星提供服务的范围。
自攻击以来,Viasat 迅速向未受到影响的客户下发调制解调器的更新,为受到影响的客户提供新的调制解调器。现已向分销商运送了近 30,000 个调制解调器,以使客户重新上线。
该攻击设法通过利用 VPN 设备(猜测为 FortiGate)中的错误配置来获得了对 KA-SAT 网络可信管理段的远程访问权限。然后利用网络访问权限同时在大量住宅调制解调器上执行合法的、有针对性的管理命令。通过合法管理命令在调制解调器上运行破坏性可执行文件(AcidRain)。以上为整理的完整攻击路线,各攻击手段的披露的时间线如下。
3月30日,Viasat 官方发表了一份声明。声明中表示攻击分为两个阶段,先是检测到大量恶意流量,这些流量主要来自乌克兰境内多个 SurfBeam2 和 SurfBeam 2+ 调制解调器和乌克兰境内 KA-SAT 面向消费者的相关服务设备,也可能仅一类设备发出恶意流量。同一时间,该区域面向消费者的在线调制解调器数量在逐渐下降。
对于攻击途径,声明表示攻击者利用配置错误的 VPN 设备远程访问该公司 KA-SAT 卫星的受信任管理网络,再通过这个受信任的管理网络横向移动到用于管理和操作网络的特定网段,然后使用这个网络访问权限同时在大量住宅调制解调器上执行合法的、有针对性的管理命令。
紧接着3月31日,SentinelLabs 的研究员发现并命名了 AcidRain 恶意代码。该二进制为 MIPS 架构,对文件系统和各种已知的存储设备文件进行深入擦除。如果代码以 root 身份运行,AcidRain 会对文件系统中的非标准文件执行初始递归覆盖和删除。
用于生成覆盖数据的代码如下:
3月31日,安全研究员 Ruben Santamarta 的研究也从一个方向证实了被攻击设备中使用执行了 AcidRain 来擦除调制解调器中内容。他转储了在对 KA-SAT 的攻击中损坏的 SATCOM 调制解调器的闪存。其中被攻击设备中转储的数据与 SentinelLabs 报告中所描述的覆盖数据生成算法一致。
<aside> 💡 注:调制解调器应为mips 小端序,故上图左侧第一个 32 bits 为值应为 0xFFFFDD57,第二个 32 bits 为值应为 0xFFFFDD56,以此类推,与 SentinelLabs 报告中所描述的覆盖数据生成算法一致)
</aside>
4月1日,在发给记者的一份声明中,Viasat 官方证实了受攻击的调制解调器设备中使用了 AcidRain 擦除器。