KaSat-Satellitennetzwerk-Ausfall sollte Ukraine schaden
2022-04-07
Internet über Satellit ist in abgelegenen Gegenden gefragt. In Deutschland werden so unter anderem Windräder gesteuert, die ja naturgemäß in größerer Entfernung zu besiedelten Gebieten aufgestellt werden. Doch mit dem Internet via Satellit war es am 24. Februar vorbei: Die Anbindung über Viasat KaSat9A fiel großflächig aus, die Empfänger/Modems in den Windrädern funktionierten nicht mehr. Ein Hackerangriff war die Ursache - ausgerechnet am Tag des russischen Angriffs auf die Ukraine.
Die Windräder selbst funktionierten zwar noch, ließen sich aber nicht mehr steuern, Servicetechniker mussten und müssen auch jetzt, Wochen nach dem Hackerangriff landauf landab vor Ort fahren und die Windräder hochklettern, um die defekten Modems zu ersetzen. Hatte Putin die regenerativen Energien aufs Korn genommen, damit wir weiter Öl und Gas kaufen müssen?
Nein, das nicht, trotzdem war der russische Angriff vermutlich die Ursache der defekten Modems, denn auch das ukrainische Militär nutzte das KaSat-Netzwerk, um auch an abgelegenen Orten schnell kommunizieren zu können. Die Ukraine begann ihre Verteidigung gegen den Angriff deshalb mit stark eingeschränkter Kommunikation ihrer Streitkräfte und Behörden. Der Verdacht eines Zusammenhangs lag nahe und wurde unter anderem von der NSA untersucht. ViaSat gab nun Details bekannt.
Die Hacker drangen durch eine Sicherheitslücke bei ViaSat ein, eine schlecht konfigurierte VPN-Anwendung. Dort wiesen sie die Modems der Kunden an, ihren Flash-Speicher mit der Firmware zu überschreiben, sodass diese nicht mehr funktionieren. ViaSat hat inzwischen 30.000 neue Modems an seine Kunden verteilt, damit diese die ausgefallene Hardware ersetzen können. Diese ist zwar nicht irreparabel defekt, es muss aber neue Firmware aufgespielt werden, was die Kunden nicht selbst erledigen können.
Forscher von SentinelOne-Labs haben einen Schadcode namens AcidRain im Verdacht, den Schaden ausgelöst zu haben. Dieser löscht im Dateisystem, in Flash-Speichern und auch externen SD-Karten rabiat alle Daten und den Programmcode und startet dann das Satellitenmodem neu, damit dieses versucht, die nicht mehr vorhandene Firmware auszuführen, sich damit aufhängt und die Satellitenverbindung deshalb dauerhaft weg ist. Diese Art von Schadsoftware wird als Wiper bezeichnet.
AcidRain ist bereits der siebte öffentlich bekannte Wiper, der mit der russischen Invasion in der Ukraine in Verbindung gebracht wird. Zuvor war Wiper-Malware selten, insbesondere solche, die auf Router, Modems oder andere Kommunikationstechnik abzielt. Mit einer Ausnahme: Die VPNFilter-Malware von 2018, die von der mit dem Kreml verbundenen Sandworm-Crew entwickelt wurde. Diese von der Talos-Einheit von Cisco entdeckte Software zielte ebenfalls auf Router und Speichergeräte ab und der Code ähnelt dem von AcidRain.
DL2MCD