AcidRain Malware Ansvarlig for Angreb på Viasat
Viasat bekræftede, at de havde fastholdt den malware, der var ansvarlig for cyberangrebet, der nedlagde virksomhedens tjenester i februar. Den anvendte malware hedder foreløbigt AcidRain og har destruktive egenskaber.
Viasat, en verdensomspændende kommunikationsudbyder med hovedkontor i USA, led af tjenesteudfald i Ukraine og flere andre europæiske territorier i slutningen af februar 2022. Nu hævder forskere med SentinelLabs, at det var AcidRain-malwaren, der blev brugt i angrebet, der bragte Viasat-infrastrukturen ned.
AcidRain brugt i tidligere angreb
AcidRain er en Linux binær konstrueret til at slette netværksudstyr, inklusive modemer og routere. Forskere mener, at det var den samme malware, der fjernede Viasats hardware i slutningen af februar.
Ifølge SentinelLabs-teamet er der visse ligheder mellem AcidRain og en komponent af VPNFilter-malwaren. VPNFilter har eksisteret i et stykke tid nu, hvor FBI har bedt alle routerbrugere, selv dem derhjemme, om at genstarte deres routere tilbage i midten af 2018 for at undgå potentielle VPNFilter-angreb. VPNFilter blev derefter forbundet med den russiske statsstøttede trusselsaktør, der gik under navnet Fancy Bear eller APT28.
Ifølge oplysninger udgivet af Viasat selv, var angrebet, der slog tjenesten offline i februar, kun fokuseret på én del af virksomhedens KA-SAT-netværk, der drives og drives af et datterselskab.
Malware omskriver routerens firmware
Når det kommer til, hvordan AcidRain slår hardware ud, udtalte Viasat, at malwaren omskriver vigtige dele af flashhukommelsen på enhederne, hvilket gør det umuligt for en inficeret enhed at kommunikere med netværket. Skaden er dog ikke permanent og blinkende med fabriksfirmware burde kunne få enhederne i orden igen.
Det ser ud til, at indgangspunktet for trusselsaktøren i dette angreb var et dårligt konfigureret VPN-punkt. Dette gjorde det muligt for hackerne at få adgang til KA-SAT-administrationskomponenterne placeret på netværket.
ZDNet rapporterede, at Viasat bekræftede, at virksomhedens interne data stemmer overens med resultaterne af holdet hos SentinelLabs, bortset fra ét punkt - SentinelLabs mener, at angrebet kan have været forsyningskædebaseret, mens Viasat hævder, at det ikke er tilfældet.
AcidRain-malwaren er den seneste i en række af destruktive malware-nyttelaster, der er udstationeret på Ukraines territorium siden starten på den russiske invasion af landet. Tidligere nyttelast fokuserede ikke på netværksudstyr, men snarere på lagring og datasletning.