Wiper-Malware

Update: Das steckt hinter dem Ausfall des Satellitennetzwerks KA-Sat

Uhr
von Coen Kaat und René Jaun und slo, pwo

Ende Februar ist das Satelliteninternet von Viasat in Zentraleuropa ausgefallen - zeitgleich mit dem Einmarsch russischer Truppen in der Ukraine. Laut eines Cybersecurity-Unternehmens soll eine Wiper-Malware tausende Verbindungsterminals angegriffen haben.

(Source: TebNad / Fotolia.com)
(Source: TebNad / Fotolia.com)

Update vom 4.4.2022: Das Telekommunikationsunternehmen Viasat hat neue Informationen zum Ausfall des von ihm betriebenen Satellitennetzwerks KA-Sat veröffentlicht. Wie "Heise" berichtet, drangen Cyberkriminelle über eine schlecht konfigurierte VPN-Anwendung in ein vertrauenswürdiges Verwaltungssegment des KA-Sat-Netzes ein.

Den Angreifern sei es sodann gelungen, die Modems des KA-Sat-Ablegers Skylogic anzuweisen, ihren Flash-Speicher zu überschreiben. In der Folge konnten die Terminals nicht mehr auf das Satellitennetz zugreifen. Laut dem Bericht seien die Geräte zwar nicht dauerhaft unbrauchbar geworden. Dennoch habe Viasat nach eigenen Angaben inzwischen rund 30.000 Modems an Vertriebspartner geschickt, um die Abonnenten wieder online zu bringen.

Forscher des Cybersecurity-Unternehmens Sentinelone bezeichnen die Erklärungen von Viasat als "einigermassen plausibel, aber unvollständig". Sie führen aus, dass die KA-Sat-Terminals mit einer Wiper-Malware infiziert worden seien. Laufe die Schadsoftware mit Administratorrechten, überschreibe sie zunächst alle Nicht-Standard-Dateien. Danach die auf den Namen "AcidRain" getaufte Malware, Daten auf vorhandenen SD-Karten, Flash-Speichern, angeschlossenen Geräten und anderen Ressourcen zu zerstören, fasst Heise zusammen. Zum Schluss führe sie einen Systemaufruf zur Synchronisierung aus und starte das Gerät neu.

Die Sentinelone-Forscher schreiben weiter, sie gehen "mit mittlerer Sicherheit davon aus, dass zwischen "AcidRain" und einem destruktiven Plugin der Stufe 3 von "VPNFilter" Ähnlichkeiten in der Entwicklung bestehen". "VPNfilter" wiederum sei von Behörden wie dem US-amerikanischen FBI der russischen Regierung zugeordnet worden. Viasat bestätigte laut Heise, dass die Analyse von Sentinelone mit den Fakten in ihrem Bericht übereinstimme.

Originalmeldung vom 11.03.2022: Cyberattacke legt Satelliteninternet und Windräder in Zentraleuropa lahm

Das US-amerikanische Unternehmen Viasat beliefert Europa und die Mittelmeerregion mit seinem Satelliteninternet. Zumindest bis zu dem Tag, an dem russische Truppen in die Ukraine einmarschierten. Zeitgleich fiel nämlich das KA-SAT-Netzwerk aus, wie "Reuters" berichtet. Die Störung betraf tausende KA-SAT-9a-Terminals in der Ukraine, Deutschland, Griechenland, Italien und Ungarn. Die Terminals befinden sich am Boden und werden von Kunden und Kundinnen genutzt, um sich mit dem Satelliteninternet zu verbinden.

Zunächst sprach das Unternehmen von einem "Cyberereignis". Wie "Heise" berichtet, bestätigte das Unternehmen nun aber gegenüber dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI), dass es sich um einen Angriff gehandelt habe. Seit dem 10. März funktionieren die Terminals zwar wieder. Verschiedene Modems wurden während des Angriffs allerdings so stark beschädigt, dass sie ersetzt werden müssen. Wer diese Kosten übernehmen soll, wurde noch nicht abschliessend geklärt.

5800 Windräder melden sich ab

Von der Attacke betroffen waren auch 5800 Windenergieanlagen des Herstellers Enercon, wie "Reuters" berichtet. Die Windräder wechselten in den Offline-Automatikmodus. Das heisst, sie konnten zwar weiter Energie ins Netzwerk einspeisen, aber überwachen und ansteuern liessen sie sich nicht mehr.

Obwohl Viasat die Untersuchung abgeschlossen habe, bleiben einige Fragen noch unbeantwortet. Allen voran: Wer ist dafür verantwortlich und wie verlief die Attacke? Wie "Heise" berichtet, ist der entstandene Schaden laut Expertenmeinungen allerdings nur durch einen Angriff auf das zentrale Network Operation Center (NOC) zu erklären.

Gemäss Andreas Knopp von der Universität der Bundeswehr München, der im "Heise"-Bericht zitiert wird, könnte der Angriff von Russland ausgegangen sein. So sei es denkbar, dass Russland eigentlich die Internetverbindung in der Ukraine kappen wollte und dabei auch die Windanlagen in Zentraleuropa vom Netz getrennt habe.

Auf Bitte des ukrainischen Ministers für Digitalisierung hat übrigens Elon Musk der Ukraine sein Satelliteninternet Starlink zur Verfügung gestellt. Lesen Sie hier mehr dazu.

Mehr zum Cyberkrieg in der Ukraine können Sie hier im Onlinedossier lesen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_249450