Κακόβουλο λογισμικό AcidRain

Ένα άλλο κακόβουλο λογισμικό υαλοκαθαριστήρων δεδομένων που χρησιμοποιείται σε επιθέσεις εναντίον ουκρανικών στόχων αποκαλύφθηκε από ερευνητές στον τομέα της ασφάλειας στον κυβερνοχώρο. Με την ονομασία AcidRain, η απειλή αναπτύχθηκε ως μέρος μιας επιβλαβούς επίθεσης με στόχο τη διακοπή των μόντεμ διαχείρισης δορυφόρων. Η επίθεση έλαβε χώρα στις 24 Φεβρουαρίου 2022 και είχε στόχο τη δορυφορική ευρυζωνική υπηρεσία KA-SAT, σκουπίζοντας τα δεδομένα των μόντεμ SATCOM και καθιστώντας τα άχρηστα.

Η απειλή κακόβουλου λογισμικού έχει σχεδιαστεί για να εισβάλλει με ωμή βία στις συσκευές και στη συνέχεια να σκουπίζει κάθε αρχείο που βρίσκει στα συστήματα που έχουν παραβιαστεί. Μόλις αναπτυχθεί, το AcidRain περνά από ολόκληρο το σύστημα αρχείων του μολυσμένου μόντεμ. Επιπλέον, μπορεί να σκουπίσει μνήμες flash, κάρτες SD/MMC και οποιεσδήποτε εικονικές συσκευές μπλοκ. Προσπαθεί να επιτύχει τους κακόβουλους στόχους του χρησιμοποιώντας όλες τις πιθανές συσκευές που εντοπίζει. Τα αρχεία που εντοπίστηκαν καταστρέφονται με την αντικατάσταση του περιεχομένου τους έως και 0x40000 byte δεδομένων. Το AcidRain χρησιμοποιεί επίσης το σύστημα IOCTL (έλεγχος εισόδου/εξόδου) που ονομάζεται MEMGETINFO, MEMUNLOCK, MEMERASE και MEMWRITEOOB. Αφού σκουπίσετε τα αρχεία, το κακόβουλο λογισμικό θα επανεκκινήσει τη συσκευή, αφήνοντάς την σε κατάσταση αχρηστίας.

Οι ερευνητές που ανακάλυψαν και ανέλυσαν τις απειλητικές λειτουργίες το περιέγραψαν ως επίθεση εφοδιαστικής αλυσίδας που παρέδωσε έναν υαλοκαθαριστήρα σχεδιασμένο ειδικά για να σκουπίζει μόντεμ και δρομολογητές. Ωστόσο, η Viasat, ο κατασκευαστής των στοχευμένων συσκευών, αντέκρουσε αυτό το συμπέρασμα δηλώνοντας ότι δεν βρήκαν στοιχεία παρεμβολής στην εφοδιαστική αλυσίδα. Η εταιρεία αναγνώρισε ακόμη ότι το καταστροφικό εκτελέσιμο αρχείο του κακόβουλου λογισμικού AcidRain αναπτύχθηκε στις συσκευές χρησιμοποιώντας μια νόμιμη εντολή διαχείρισης.