Le piratage des satellites Viasat causé par un nouveau maliciel ‘wiper’

L’attaque qui a paralysé les satellites de la firme américaine Viasat le jour même de l’invasion de l’Ukraine, a été provoquée par un ‘wiper’ malware. Voilà ce que prétend Viasat même.

Il s’agit là d’un effaceur de données nouvellement découvert et baptisé AcidRain. Des chercheurs de l’entreprise SentinelOne décrivent le maliciel en question dans un rapport publié hier. Selon ce rapport, le ‘wiper’ (essuie-glace) affiche des similitudes avec un autre malware, VPNFilter, qui est parvenu ces derniers mois à infecter un demi-million de modems aux Etats-Unis. Les services publics américains lient ce VPNFilter à des pirates d’Etat russes.

Mais dans le cas présent, c’est donc AcidRain qui est responsable de la paralysie de toute une série de modems satellites de Viasat, comme l’admet la firme à présent. Les connexions de Viasa avaient été interrompues au matin du 24 février, au moment où la Russie envoyait ses troupes terrestres à la conquête de l’Ukraine. Lors de l’attaque, des modems de Viasat furent rendus inutilisables et ce, non seulement en Ukraine, mais aussi en dehors. Des clients dans toute l’Europe ont ainsi vu s’interrompre leur connexion par satellite.

Dans son rapport, Viasat signale à présent que les pirates ont réussi à s’infiltrer sur le réseau de la firme via un VPN mal configuré. De là, ils ont pu se déplacer latéralement en direction de parties du réseau, où ils ont été capables d’expédier des commandes vers un grand nombre de modems résidentiels. ‘Ces commandes dévastatrices ont écrasé des données importantes dans la mémoire flash des modems, ce qui fait que ces derniers n’étaient plus à même d’accéder au réseau, sans être cependant complètement inutilisables’, explique Viasat.

Le fait qu’il s’agisse d’un ‘wiper’, explique aussi en partie la longue durée de restauration. Les modems touchés ne peuvent être restaurés par une mise à jour, mais doivent être remplacés. Comme les données dont ils ont besoin pour accéder au réseau, sont détruites, ils ne peuvent être réparés sans une intervention physique. Il s’agit entre-temps déjà du septième malware ‘wiper’ découvert depuis le début de la guerre en Ukraine. En général, ce type de maliciel est toutefois particulièrement rare, surtout lorsqu’il est conçu pour des modems et des routeurs, conclut SentinelOne.