Sécurité informatique : un Wiper à l’assaut de ViaSat
Selon la société de sécurité informatique SentinelOne, le type de programme informatique utilisé pour pirater le satellite ViaSat serait un Wiper.
En se référant aux déclarations de ce spécialiste de la cybersécurité, il y a quand même de fortes chances que ce programme soit utilisé un nouveau dans le but d’attaquer des réseaux informatiques.
Cet article va aussi vous intéresser : Conflit Russo-ukrainien : l’affaire du satellite piraté dans la foulée
Dans une récente déclaration, la société de sécurité informatique SentinelOne publiait de nouveaux éléments qui ont un rapport avec le piratage du réseau ViaSat depuis son satellite. Un programme informatique a été particulièrement mis en avant et étudié par la société. Il s’agit notamment du programme malveillant connu sous l’appellation de AcidRain. Un échantillon de ce logiciel a été mis en ligne depuis le 15 mars dernier et était camouflé sous l’appellation de « Ukrop ». Il est donc possible d’avoir accès à celui-ci sur la plate-forme VirusTotal, d’un internaute italien.
En se référant à la déclaration des SentinelOne, ce programme malveillant a été conçu spécialement pour s’attaquer à des appareils informatiques qui fonctionnent avec l’architecture MIPS. Un processus qui est utilisé principalement dans le développement des routeurs. La fonctionnalité principale de ce dernier consiste notamment à supprimer les données présentes dans la machine qu’il a infecté.
Pourtant, il semble qu’il y a un flou dans cette histoire. Effectivement, en se référant aux déclarations des responsables de ViaSat, il n’a pas été mentionné l’utilisation d’un quelconque logiciel malveillant mais plutôt un abus de commande légitime, qui aurait permis aux pirates informatiques de prendre le contrôle momentanément des infrastructures de gestions des modems.
Pourtant, selon les experts de la société de cybersécurité, la séance est assez incomplète : « On ne sait toujours pas comment des commandes légitimes pourraient avoir un tel effet perturbateur sur les modems. Une perturbation de cette échelle est plus vraisemblablement obtenue en diffusant une mise à jour, un script ou un exécutable. ».
Il faut rappeler que dès la découverte de l’attaque, ViaSat avait demandé à ses utilisateurs de ne pas effectuer de mise à jour de leur modem. Ce que signifie clairement que la thèse de l’attaque informatique par logiciel malveillant est quelque chose de plausible.
Selon les chercheurs de la SentinelOne, il a été observé lors de l’analyse des modems, suite à l’attaque informatique du 24 février, des traces similaires à des pratiques dont la conséquence immédiate est celui pour être observé lorsque le Wiper cité plus haut est utilisé. Après plusieurs tests les chercheurs en ont conclu qu’il y a de très fortes chances que AcidRain soit le programme malveillant utilisé pour l’attaque du réseau ViaSat.
En repensant aux chercheurs de SentinelOne, la société ViaSat a confirmé que : « l’analyse du rapport SentinelLabs concernant le binaire Ukrop est cohérente avec les faits de notre rapport – en particulier, SentinelLabs identifie l’exécutable destructeur qui a été exécuté sur les modems à l’aide d’une commande de gestion légitime comme ViaSat l’a décrit précédemment ».
Dans leur rapport, les chercheurs de la société de cybersécurité, ont mis en évidence quelques points assez intéressant. Il s’agit notamment d’une ressemblance entre le logiciel malveillant mis en cause c’est-à-dire AcidRain et un autre programme malveillant connu sous l’appellation de VPNFILTER.
Cette similarité inquiète en ce sens que, VPNFilter en sa version 3, a pour fonctionnalité de permettre à son opérateur de supprimer la mémoire des terminaux informatiques contaminés. Le fait qu’il inquiète réside aussi dans le fait qu’il aurait pu être impliqué en 2018, dans une attaque informatique qui a eu pour conséquence le sabotage d’une usine de traitement d’eau basée en Ukraine.
« Certaines spécificités d’AcidRain sont similaires à l’un des modules de VPNFilter version 3 destiné à implémenter des fonctions visant à supprimer la mémoire des appareils infectés. La mention de VPNFilter n’a rien d’anodin : ce logiciel avait notamment été impliqué en 2018 dans une attaque informatique visant à saboter une usine ukrainienne de traitement de l’eau. » note le rapport.
Il faut souligner en guise de rappel que les logiciels malveillants qui ont été conçus spécialement pour détruire des données ou effacer la mémoire des systèmes informatiques cible est connu sous l’appellation de « Wiper ». Depuis le début de la crise en Ukraine, il a été plusieurs fois observé l’utilisation de ce type de programme malveillant contre des infrastructures ukrainiennes.
Cette situation a été révélée par la société de cybersécurité ESET et le géant du numérique Microsoft qui affirment avoir pu analyser plusieurs échantillons de ce genre de logiciel malveillant contre des cibles ukrainiennes depuis le début de l’année 2022.
Accédez maintenant à un nombre illimité de mot de passe :