Το κακόβουλο λογισμικό AcidRain είναι υπεύθυνο για την επίθεση στο Viasat
Η Viasat επιβεβαίωσε ότι είχε καθηλώσει το κακόβουλο λογισμικό που ευθύνεται για την κυβερνοεπίθεση που κατέστρεψε τις υπηρεσίες της εταιρείας τον Φεβρουάριο. Το κακόβουλο λογισμικό που χρησιμοποιείται ονομάζεται προσωρινά AcidRain και έχει καταστροφικές δυνατότητες.
Η Viasat, ένας παγκόσμιος πάροχος επικοινωνιών με έδρα τις ΗΠΑ, υπέστη διακοπές στην Ουκρανία και σε πολλές άλλες ευρωπαϊκές περιοχές στα τέλη Φεβρουαρίου 2022. Τώρα, ερευνητές της SentinelLabs ισχυρίζονται ότι ήταν το κακόβουλο λογισμικό AcidRain που χρησιμοποιήθηκε στην επίθεση που κατέστρεψε την υποδομή Viasat.
Το AcidRain χρησιμοποιήθηκε σε προηγούμενες επιθέσεις
Το AcidRain είναι ένα δυαδικό σύστημα Linux που έχει σχεδιαστεί για να σκουπίζει τον εξοπλισμό δικτύου , συμπεριλαμβανομένων των μόντεμ και των δρομολογητών. Οι ερευνητές πιστεύουν ότι ήταν το ίδιο κακόβουλο λογισμικό που κατέστρεψε το υλικό της Viasat στα τέλη Φεβρουαρίου.
Σύμφωνα με την ομάδα SentinelLabs, υπάρχουν ορισμένες ομοιότητες μεταξύ του AcidRain και ενός στοιχείου του κακόβουλου λογισμικού VPNFilter . Το VPNFilter κυκλοφορεί εδώ και λίγο καιρό, με το FBI να ζητά από όλους τους χρήστες του δρομολογητή, ακόμη και αυτούς που βρίσκονται στο σπίτι, να επανεκκινήσουν τους δρομολογητές τους στα μέσα του 2018 , για να αποφύγουν πιθανές επιθέσεις VPNFilter. Το VPNFilter συνδέθηκε τότε με τον υποστηριζόμενο από το κράτος απειλητικό παράγοντα που ονομαζόταν Fancy Bear ή APT28.
Σύμφωνα με πληροφορίες που δημοσίευσε η ίδια η Viasat, η επίθεση που έριξε την υπηρεσία εκτός σύνδεσης τον Φεβρουάριο επικεντρώθηκε σε ένα μόνο τμήμα του δικτύου KA-SAT της εταιρείας που διευθύνεται και λειτουργεί από θυγατρική.
Το κακόβουλο λογισμικό επαναγράφει το υλικολογισμικό του δρομολογητή
Όσον αφορά τον τρόπο με τον οποίο το AcidRain καταστρέφει το υλικό, η Viasat δήλωσε ότι το κακόβουλο λογισμικό ξαναγράφει σημαντικά τμήματα της μνήμης flash στις συσκευές, καθιστώντας αδύνατη την επικοινωνία μιας μολυσμένης συσκευής με το δίκτυο. Ωστόσο, η ζημιά δεν είναι μόνιμη και το αναβοσβήσιμο με το εργοστασιακό υλικολογισμικό θα μπορούσε να επαναφέρει τις μονάδες σε τάξη.
Φαίνεται ότι το σημείο εισόδου για τον παράγοντα απειλής σε αυτήν την επίθεση ήταν ένα σημείο VPN με κακή διαμόρφωση. Αυτό επέτρεψε στους χάκερ να έχουν πρόσβαση στα στοιχεία διαχείρισης KA-SAT που βρίσκονται στο δίκτυο.
Το ZDNet ανέφερε ότι η Viasat επιβεβαίωσε ότι τα εσωτερικά δεδομένα της εταιρείας συνάδουν με τα ευρήματα της ομάδας στο SentinelLabs, εκτός από ένα σημείο - η SentinelLabs πιστεύει ότι η επίθεση μπορεί να βασιζόταν στην αλυσίδα εφοδιασμού, ενώ η Viasat ισχυρίζεται ότι αυτό δεν ισχύει.
Το κακόβουλο λογισμικό AcidRain είναι το πιο πρόσφατο σε μια σειρά καταστροφικών ωφέλιμων φορτίων κακόβουλου λογισμικού που έχουν αναπτυχθεί στην επικράτεια της Ουκρανίας από την έναρξη της ρωσικής εισβολής στη χώρα. Τα προηγούμενα ωφέλιμα φορτία δεν επικεντρώνονταν στον εξοπλισμό δικτύωσης αλλά μάλλον στην αποθήκευση και τη διαγραφή δεδομένων.