AcidRain haittaohjelma

Kyberturvallisuustutkijat ovat paljastaneet toisen tiedonpyyhkijän haittaohjelman, jota hyödynnetään hyökkäyksissä ukrainalaisia kohteita vastaan. AcidRain-niminen uhka otettiin käyttöön osana haitallista hyökkäystä, jonka tarkoituksena oli häiritä satelliittien hallintamodeemeja. Hyökkäys tapahtui 24. helmikuuta 2022, ja se kohdistui KA-SAT-satelliittilaajakaistapalveluun pyyhkimällä SATCOM-modeemien tiedot ja tekemällä niistä käyttökelvottomia.

Haittaohjelmauhka on suunniteltu tunkeutumaan raa'alla väkivallalla laitteisiin ja pyyhkimään sitten jokainen tiedosto, jonka se löytää rikkoutuneista järjestelmistä. Kun AcidRain on otettu käyttöön, se käy läpi tartunnan saaneen modeemin koko tiedostojärjestelmän. Lisäksi se voi pyyhkiä flash-muisteja, SD/MMC-kortteja ja mitä tahansa virtuaalilohkolaitteita. Se yrittää saavuttaa pahat tavoitteensa käyttämällä kaikkia mahdollisia tunnistamiaan laitteita. Havaitut tiedostot tuhotaan kirjoittamalla niiden sisältö jopa 0x40000 tavua dataa päälle. AcidRain hyödyntää myös IOCTL (input/output control) -järjestelmän kutsuja MEMGETINFO, MEMUNLOCK, MEMERASE ja MEMWRITEOOB. Tiedostojen pyyhkimisen jälkeen haittaohjelma käynnistää laitteen uudelleen ja jättää sen käyttökelvottomaksi.

Uhkaavat toiminnot löytäneet ja analysoineet tutkijat kuvasivat sitä toimitusketjun hyökkäykseksi, joka toimitti pyyhkimen, joka on suunniteltu erityisesti pyyhkiä modeemeja ja reitittimiä. Kohteena olevien laitteiden valmistaja Viasat kuitenkin vastusti tätä päätelmää toteamalla, että he eivät ole löytäneet todisteita toimitusketjun häiriöistä. Yritys myönsi edelleen, että AcidRain-haittaohjelman tuhoisa suoritettava ohjelma otettiin käyttöön laitteissa käyttämällä laillista hallintakomentoa.