AcidRain Malware المسؤول عن الهجوم على Viasat

وأكدت شركة Viasat أنها حددت البرمجيات الخبيثة المسؤولة عن الهجوم الإلكتروني الذي أعطل خدمات الشركة في فبراير. البرمجيات الخبيثة المستخدمة تسمى مبدئيا AcidRain ولها قدرات تدميرية.

Viasat ، مزود اتصالات عالمي ومقره الولايات المتحدة ، عانى من انقطاع الخدمة في أوكرانيا والعديد من الأقاليم الأوروبية الأخرى في أواخر فبراير 2022. الآن ، يدعي باحثو SentinelLabs أن البرمجيات الخبيثة AcidRain التي تم استخدامها في الهجوم هي التي أدت إلى تعطيل البنية التحتية لـ Viasat.

استخدم AcidRain في هجمات سابقة

AcidRain هو نظام لينكس ثنائي تم تصميمه لمسح معدات الشبكات ، بما في ذلك أجهزة المودم وأجهزة التوجيه. يعتقد الباحثون أنها كانت نفس البرمجيات الخبيثة التي عصفت بأجهزة Viasat في أواخر فبراير.

وفقًا لفريق SentinelLabs ، هناك بعض أوجه التشابه بين AcidRain وأحد مكونات البرنامج الضار VPNFilter . ظل VPNFilter موجودًا منذ فترة حتى الآن ، حيث طالب مكتب التحقيقات الفيدرالي جميع مستخدمي أجهزة التوجيه ، حتى أولئك في المنزل ، بإعادة تشغيل أجهزة التوجيه الخاصة بهم مرة أخرى في منتصف عام 2018 ، لتجنب هجمات VPNFilter المحتملة. ثم تم ربط VPNFilter بممثل التهديد الروسي المدعوم من الدولة باسم Fancy Bear أو APT28.

وفقًا للمعلومات الصادرة عن شركة Viasat نفسها ، فإن الهجوم الذي أدى إلى تعطيل الخدمة في فبراير كان مركزًا على جزء واحد فقط من شبكة KA-SAT التابعة للشركة والتي يتم تشغيلها وتشغيلها من قبل شركة تابعة.

تعيد البرامج الضارة كتابة البرامج الثابتة لجهاز التوجيه

عندما يتعلق الأمر بكيفية قيام AcidRain بإخراج الأجهزة ، ذكر Viasat أن البرامج الضارة تعيد كتابة أجزاء مهمة من ذاكرة الفلاش على الأجهزة ، مما يجعل من المستحيل على جهاز مصاب الاتصال بالشبكة. ومع ذلك ، فإن التلف ليس دائمًا ويجب أن يتمكن الوميض بالبرامج الثابتة للمصنع من استعادة الوحدات بالترتيب.

يبدو أن نقطة دخول ممثل التهديد في هذا الهجوم كانت نقطة VPN سيئة التكوين. سمح ذلك للمتسللين بالوصول إلى مكونات إدارة KA-SAT الموجودة على الشبكة.

أفادت ZDNet أن Viasat أكدت أن البيانات الداخلية للشركة تتوافق مع نتائج الفريق في SentinelLabs ، باستثناء نقطة واحدة - يعتقد SentinelLabs أن الهجوم ربما كان قائمًا على سلسلة التوريد ، بينما تدعي Viasat أن هذا ليس هو الحال.

يعد برنامج AcidRain الضار الأحدث في سلسلة حمولات البرامج الضارة المدمرة المنتشرة على أراضي أوكرانيا منذ بداية الغزو الروسي للبلاد. لم تكن الحمولات السابقة تركز على معدات الشبكات بل كانت تركز على التخزين ومسح البيانات.