AcidRain-haittaohjelma, joka on vastuussa Viasatiin tehdystä hyökkäyksestä
Viasat vahvisti löytäneensä haittaohjelman, joka oli vastuussa yhtiön palvelut helmikuussa kaappaneesta kyberhyökkäyksestä. Käytetty haittaohjelma on alustavasti nimeltään AcidRain ja sillä on tuhoisia ominaisuuksia.
Viasat, maailmanlaajuinen viestintätoimittaja, jonka pääkonttori on Yhdysvalloissa, kärsi palvelukatkoksista Ukrainassa ja useilla muilla Euroopan alueilla helmikuun 2022 lopulla. Nyt SentinelLabsin tutkijat väittävät, että hyökkäyksessä käytetty AcidRain-haittaohjelma kaatoi Viasatin infrastruktuurin.
AcidRain käytetty aikaisemmissa hyökkäyksissä
AcidRain on Linux-binaari, joka on suunniteltu pyyhkimään verkkolaitteet , mukaan lukien modeemit ja reitittimet. Tutkijat uskovat, että se oli sama haittaohjelma, joka tuhosi Viasatin laitteiston helmikuun lopulla.
SentinelLabs-tiimin mukaan AcidRainin ja VPNFilter-haittaohjelman osan välillä on tiettyjä yhtäläisyyksiä. VPNFilter on ollut olemassa jo jonkin aikaa, ja FBI on kehottanut kaikkia reitittimen käyttäjiä, myös kotona olevia, käynnistämään reitittimensä uudelleen vuoden 2018 puolivälissä mahdollisten VPNFilter-hyökkäysten välttämiseksi. VPNFilter yhdistettiin sitten Venäjän valtion tukemaan uhkatoimijaan nimeltä Fancy Bear tai APT28.
Viasatin itsensä julkaisemien tietojen mukaan hyökkäys, joka kaatui palvelun helmikuussa offline-tilaan, kohdistui vain yhteen osaan yhtiön KA-SAT-verkkoa, jota ylläpitää ja operoi tytäryhtiö.
Haittaohjelma kirjoittaa reitittimen laiteohjelmiston uudelleen
Mitä tulee siihen, kuinka AcidRain tyrmää laitteiston, Viasat totesi, että haittaohjelma kirjoittaa uudelleen tärkeitä osia laitteiden flash-muistista, mikä tekee tartunnan saaneen laitteen mahdottomaksi kommunikoida verkon kanssa. Vahinko ei kuitenkaan ole pysyvä ja tehdasohjelmistolla vilkkumalla yksiköt pitäisi saada takaisin kuntoon.
Näyttää siltä, että tämän hyökkäyksen uhkatekijän sisääntulopiste oli huonosti määritetty VPN-piste. Tämä mahdollisti hakkereiden pääsyn verkossa sijaitseviin KA-SAT-hallintakomponentteihin.
ZDNet kertoi Viasatin vahvistaneen, että yhtiön sisäiset tiedot vastaavat SentinelLabsin ryhmän havaintoja yhtä kohtaa lukuun ottamatta - SentinelLabs uskoo, että hyökkäys saattoi perustua toimitusketjuun, kun taas Viasat väittää, että näin ei ole.
AcidRain-haittaohjelma on uusin tuhoavien haittaohjelmien sarjassa Ukrainan alueella Venäjän hyökkäyksen alkamisen jälkeen. Aiemmat hyötykuormat eivät keskittyneet verkkolaitteisiin, vaan pikemminkin varastointiin ja tietojen pyyhkimiseen.