Cyber-Sabotage: KA-SAT-Ausfall durch Wiper AcidRain

Am 24. Februar 2022 kam es bei KA-SAT 9A, einem kommerziellen Kommunikationssatelliten des US-amerikanischen Unternehmens Viasat Inc., zu einem großflächigen Ausfall. Der Satellit, welcher sich in der geostationären Position 9° Ost befindet, versorgt Europa und den Nahen Osten mit 82 Spotbeams für Datenübertragungen. Inzwischen steht fest, dass eine Schadsoftware, ein auf den Namen AcidRain getaufter Wiper, die Modems unbrauchbar gemacht hatte. Da zeitgleich der russische Einmarsch in die Ukraine begann, wurde von Anfang an ein Cyberangriff vermutet. Dies darf man, auch wenn die russische Seite einmal mehr alle Anschuldigungen bestreiten wird, inzwischen als gesichert betrachten.

30.000 Satellitenterminals ohne Funktion
KA-SAT bietet eine schnelle Internetanbindung mit Download-Raten von bis zu 50 Mbps, jeder der 82 Spotbeams bringt es auf eine Kapazität von 475 Mbps. Zu den Kunden gehören Unternehmen mit abgelegenen Standorten, an denen kein kabelgebundenes Internet verfügbar ist. Ein praktisches Beispiel sind Windenergieanlagen, deren Anlagensteuerung und Überwachung über KA-SAT realisiert werden kann. Und so fiel der großflächige Ausfall auch zuerst bei Enercon, einem Hersteller von Windenergieanlagen, auf. Dort war die Fernüberwachung und -steuerung (SCADA) von 5.800 Windenergieanlagen mit einer Gesamtleistung von 11 Gigawatt ausgefallen. Die betroffenen Anlagen liefen nach dem Angriff im Automatikmodus und lieferten weiterhin Strom, doch sie konnten nicht mehr aus der Ferne zurückgesetzt werden. Die Kunden des Internetanbieters Bigblu waren ebenfalls von der breit angelegten Cyber-Sabotage betroffen, die europaweit rund 30.000 Satellitenterminals außer Betrieb gesetzt hatte.

Einen Monat nach dem Ausfall meldet sich Viasat zu Wort
Am 30. März 2022, mehr als einen Monat nach dem Ausfall, veröffentlichte der KA-SAT-Betreiber Viasat eine Stellungnahme und sprach dabei von einem facettenreichen und vorsätzlichen Cyber-Angriff auf KA-SAT. Der Angriff sei auf einen einzigen verbraucherorientierten Bereich des KA-SAT-Netzwerks beschränkt gewesen und hätte primär die Ukraine zum Ziel gehabt. Dass Tausende von Breitbandmodems der Marke Tooway in ganz Europa ausgefallen waren, darf wohl als Kollateralschaden betrachtet werden. Das Ziel des Angriffs wird von Skylogic, einer Tochtergesellschaft von Eutelsat, im Auftrag von Viasat betrieben. Die direkt von Viasat verwalteten Nutzer, darunter staatliche Stellen und Kunden aus dem Bereich Mobilität, waren demnach nicht betroffen. Zudem hatte sich der Angriff nicht auf andere Viasat-Netzwerke erstreckt. Der Vorfall wird weiterhin von Viasat, Eutelsat, hinzugezogenen IT-Forensikern von Mandiant sowie staatlichen Stellen mehrerer Länder untersucht. Bisher konnten keine Hinweise auf einen Datendiebstahl gefunden werden. Das alleinige Ziel war nach jetzigem Stand die Sabotage der Satellitenkommunikation.

Wie Viasat erklärt, wurde der Angriff am 24. Februar 2022 um 3:02 Uhr UTC bemerkt. Zu diesem Zeitpunkt begannen Modems des Typs SurfBeam2 bzw. SurfBeam2+ mit Standort in der Ukraine bösartige Datenpakete zu verbreiten. Zu diesem Zeitpunkt sah alles nach einem DoS-Angriff aus, bei dem ein massives Datenaufkommen die Nutzbarkeit der Dienste einschränken sollte. Das Notfallteam des Betreibers versuchte daraufhin, die auffälligen Modems auszusperren, doch sie wurden sogleich von anderen ersetzt. Gegen 4:15 Uhr UTC trennten dann immer mehr Modems ihre Verbindung und verschwanden aus dem Netz. Dies dauerte ca. 45 Minuten und ließ die betroffenen Modems funktionslos zurück. Die forensische Analyse konnte ein falsch konfiguriertes VPN-Gerät als Einfallstor ausmachen. Über dieses erlangten die Angreifer Fernzugriff auf das geschützte Verwaltungssegment des KA-SAT-Netzwerks und fluteten dieses mit eigentlich legitimen Verwaltungsbefehlen. Mit diesen Befehlen wurden Schlüsseldaten im Flash-Speicher der Modems überschrieben, was diese defekt zurückließ. Dieser Zustand ist reparabel, allerdings nicht unbedingt vom Kunden. Die Elektronik und Firmware der bisher untersuchten Modems war laut Viasat intakt.

Ergänzungen von Sicherheitsexperten
Weitere Details liefern Juan Andres Guerrero-Saade und Max van Amerongen von SentinelLabs. Die beiden Sicherheitsexperten konnten seit Anfang 2022 sechs verschiedene Sorten von Wiper-Schadprogrammen (WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper und DoubleZero) beobachten, die allesamt auf die Ukraine zielten. Ein Wiper ist ausschließlich auf Zerstörung aus und löscht Daten. Er unterscheidet sich damit eindeutig von einer Ransomeware, welche Daten zum Zwecke der Erpressung verschlüsselt. Sofern es dem Wiper gelingt, die Firmware eines Gerätes zu löschen oder mit sinnlosen Daten zu überschreiben, kann dieses dabei irreparabel zerstört werden. Wiper sind somit Sabotage-Werkzeuge bzw. Waffen für den Cyberkrieg. Und diesen hatte Russland offenbar schon Wochen vor seinem Einmarsch in die Ukraine gestartet.

Wiper Nummer sieben ist nach der Zählweise von SentinelLabs AcidRain und dieser hat KA-SAT lahmgelegt. Guerrero-Saade und van Amerongen beziehen sich dabei auf eine verdächtige, ausführbare MIPS-ELF-Binärdatei namens ukrop, welche am 15. März 2022 von einem italienischen Rechner aus auf VirusTotal hochgeladen wurde. Da Skylogic seinen Sitz in Italien hat, dürfte der Upload von dort stammen. Die Analyse von ukrop aka AcidRain brachte ein alles andere als elegantes Bruteforce-Konzept zum Vorschein, welches eine Tiefenlöschung des Dateisystems und verschiedener bekannter Speichergerätedateien vornimmt. Sofern der Code mit Root-Rechten ausgeführt wird, führt AcidRain zu Beginn ein rekursives Überschreiben und Löschen von nicht standardmäßigen Dateien im Dateisystem durch. Nach dem Überschreiben wird ein Neustart ausgelöst, der das Modem ohne Funktion zurücklässt.

Ein Code-Vergleich von AcidRain mit einer Wiper-Erweiterung für die modulare Schadsoftware VPNFilter ergab 55 Prozent Übereinstimmung. Gemessen an VPNFilter erscheint der Code von AcidRain wesentlich ineffizienter und grobschlächtiger. Dafür lässt er sich universeller einsetzen und kann auf sehr unterschiedlichen Geräten großen Schaden anrichten. VPNFilter wird dem russischen Militärgeheimdienst GRU zugeschrieben. Ein eindeutiger Beweis für die Herkunft von AcidRain ist das zwar noch nicht, aber die Puzzleteile fügen sich nahtlos zusammen. Bleibt noch anzumerken, dass Viasat die Rückschlüsse von Guerrero-Saade und van Amerongen zwischenzeitlich als zutreffend bezeichnet hat.