Een verkeerd geconfigureerde vpn-appliance was de oorzaak dat aanvallers onlangs toegang tot systemen van satellietbedrijf Viasat konden krijgen om vervolgens tienduizenden modems met wiper-malware te infecteren. Dat heeft het bedrijf in een verklaring bekendgemaakt. De aanval deed zich eind februari voor en werd vooraf gegaan door een denial of service-aanval.

Viasat stelt in een analyse van de aanval dat tienduizenden modems die online waren opeens offline gingen en niet meer terugkwamen. Verder onderzoek wees uit dat een aanvaller door een misconfiguratie van een vpn-appliance toegang tot een managementsegment van Viasats netwerk had gekregen. De aanvaller wist zich lateraal door het netwerk te bewegen naar een specifiek deel dat voor het netwerkbeheer wordt gebruikt.

Vervolgens gebruikte de aanvaller deze netwerktoegang voor het gelijktijdig uitvoeren van beheercommando's op een groot aantal modems, zo claimt Viasat. Bij deze "destructieve commando's" werd belangrijke data in het flashgeheugen van de modems overschreven, waardoor die geen verbinding meer met het netwerk konden maken. Volgens Viasat is er geen permanent schade aangericht en zijn de modems via een fabrieksreset volledig te herstellen. Ondanks deze geclaimde resetoptie stelt Viasat tegelijkertijd dat het bijna dertigduizend modems naar distributeurs heeft verscheept om klanten weer online te krijgen.

"Het blijft onduidelijk hoe legitieme commando's zo'n schadelijk effect op de modems konden hebben", zegt Max van Amerongen van securitybedrijf SentinelOne. Hij stelt dat het op grote schaal verstoren van systemen realistischer is via het uitrollen van een malafide update, script of bestand. "Het is ook lastig om voor te stellen hoe legitieme commando's voor zowel een denial of service kunnen zorgen als het onbruikbaar maken van de modems, maar die niet permanent beschadigen."

SentinelOne ontdekte wiper-malware genaamd "AcidRain" die bij de aanval is ingezet. "Ondanks de verklaring van Viasat dat er geen supply-chain-aanval was of het gebruik van malafide code op de getroffen routers, komen we met de meer aannemelijke hypothese dat de aanvallers voor hun operatie AcidRain op deze apparaten uitvoerden", aldus Van Amerongen. In de media heeft Viasat inmiddels bevestigd dat de wiper-malware inderdaad tegen de modems van klanten is ingezet.