AcidRain Malware

Výzkumníci v oblasti kybernetické bezpečnosti odhalili další malware pro mazání dat využívaný při útocích proti ukrajinským cílům. Hrozba s názvem AcidRain byla nasazena jako součást škodlivého útoku zaměřeného na narušení modemů pro správu satelitů. Útok se odehrál 24. února 2022 a zaměřil se na satelitní širokopásmovou službu KA-SAT tím, že vymazal data z modemů SATCOM a učinil je nepoužitelnými.

Malwarová hrozba je navržena tak, aby se hrubou silou dostala do zařízení a poté vymazala každý jednotlivý soubor, který najde na narušených systémech. Po nasazení AcidRain prochází celým souborovým systémem infikovaného modemu. Kromě toho dokáže vymazat flash paměti, SD/MMC karty a jakákoli virtuální bloková zařízení. Snaží se dosáhnout svých hanebných cílů pomocí všech možných zařízení, která identifikuje. Zjištěné soubory jsou zničeny přepsáním jejich obsahu až do velikosti 0x40000 bajtů dat. AcidRain také využívá systémová volání IOCTL (input/output control) MEMGETINFO, MEMUNLOCK, MEMERASE a MEMWRITEOOB. Po vymazání souborů malware restartuje zařízení a ponechá jej v nepoužitelném stavu.

Výzkumníci, kteří objevili a analyzovali hrozivé operace, to popsali jako útok na dodavatelský řetězec, který přinesl stěrač navržený speciálně k vymazání modemů a směrovačů. Společnost Viasat, výrobce cílových zařízení, však tento závěr odmítla prohlášením, že nenašla žádné důkazy o rušení dodavatelského řetězce. Společnost stále uznala, že destruktivní spustitelný soubor malwaru AcidRain byl nasazen na zařízení pomocí legitimního příkazu správy.