Passer au contenu

Le malware AcidRain aurait-il pu compromettre les modems du réseau satellitaire KA-SAT ?

Des chercheurs israéliens supposent que ce logiciel malveillant aurait rendu inopérants des milliers de modems européens clients de l’opérateur satellitaire Viasat. 

L’opérateur Viasat a enfin communiqué cette semaine sur les dessous de la cyberattaque qui a affecté les utilisateurs grand public du satellite KA-SAT en Europe fin février. La société de cybersécurité israélienne SentinelLabs revient à son tour sur le sujet pour apporter des compléments. Ses chercheurs ont découvert un nouveau malware qu’ils ont baptisé AcidRain.

SentinelLabs ne comprenait pas comment des commandes légitimes aux modems envoyées par l’attaquant avaient pu rendre les boîtiers inutilisables sans les bloquer définitivement. Son hypothèse, c’est qu’un malware a écrasé les données clés dans la mémoire flash du modem, le rendant inutilisable et nécessitant un reflashage ou un remplacement.

Son équipe a repéré une mise en ligne suspecte réalisée le mardi 15 mars 2022. Il s’agit d’un fichier téléchargé sur VirusTotal depuis l’Italie avec le nom ukrop, qui pourrait faire référence à l’acronyme de l’Association ukrainienne des patriotes ou à une insulte russe contre les Ukrainiens. Seules les parties prenantes officielles dans l’enquête sur l’affaire Viasat pourraient le confirmer.

A découvrir aussi en vidéo :

 

Des similitudes avec VPNFilter

Pour SentinelLabs, ce type de logiciel reste relativement rare. Et plus encore s’ils visent des routeurs, des modems ou des appareils connectés. Le cas le plus connu est celui de VPNFilter, accusé par le FBI et la NSA d’être l’oeuvre de la Russie et peut-être même du groupe Sandworm.

VPNFilter comprenait un éventail impressionnant de fonctionnalités sous la forme de plug-ins déployées de manière sélective sur les appareils infectés. Cela pouvait aller du vol d’informations d’identification, de la surveillance de protocoles, à l’effacement et le «brickage» d’appareils. Or, des similitudes existeraient entre le code de VPNFilter et AcidRain. Toutefois, les chercheurs israéliens estiment celui de AcidRain est beaucoup moins sophistiqué et aurait davantage été «baclé». En gros, AcidRain ferait moins dans la dentelle vu sa finalité beaucoup plus radicale qui reste d’effacer les appareils. Il pourrait aussi se réutiliser plus facilement sur d’autres types de cibles. 

SentinelLabs appelle la communauté de chercheurs à explorer cette piste.

Source : SentinelLabs

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Amélie CHARNAY