AcidRain Malware

En anden datavisker-malware udnyttet i angreb mod ukrainske mål er blevet afsløret af cybersikkerhedsforskere. Ved navn AcidRain blev truslen indsat som en del af et skadeligt angreb, der havde til formål at forstyrre satellitstyringsmodemerne. Angrebet fandt sted den 24. februar 2022 og var rettet mod KA-SAT-satellitbredbåndstjenesten ved at slette data fra SATCOM-modemmer og gøre dem ubrugelige.

Malwaretruslen er designet til at presse sig vej ind i enhederne og derefter slette hver eneste fil, den finder på de brudte systemer. Når den er installeret, gennemgår AcidRain hele filsystemet på det inficerede modem. Derudover kan den slette flashhukommelser, SD/MMC-kort og alle virtuelle blokenheder. Den forsøger at nå sine uhyggelige mål ved at bruge alle mulige enheder, den identificerer. De registrerede filer ødelægges ved at få deres indhold på op til 0x40000 bytes data overskrevet. AcidRain bruger også IOCTL (input/output kontrol) systemet kalder MEMGETINFO, MEMUNLOCK, MEMERASE og MEMWRITEOOB. Efter at have slettet filerne, genstarter malwaren enheden og efterlader den i en ubrugelig tilstand.

Forskerne, der opdagede og analyserede de truende operationer, beskrev det som et forsyningskædeangreb, der leverede en visker designet specifikt til at slette modemer og routere. Viasat, producenten af de målrettede enheder, trak dog tilbage mod denne konklusion ved at erklære, at de ikke har fundet beviser for forsyningskædeinterferens. Virksomheden anerkendte stadig, at den destruktive eksekverbare af AcidRain-malwaren blev installeret på enhederne ved hjælp af en legitim ledelseskommando.