תוכנת זדונית AcidRain אחראית להתקפה על Viasat

Viasat אישרה כי הצמידה את התוכנה הזדונית האחראית למתקפת הסייבר שהפילה את שירותי החברה בפברואר. התוכנה הזדונית שבה נעשה שימוש נקראת באופן זמני AcidRain ויש לה יכולות הרסניות.

Viasat, ספקית תקשורת עולמית שבסיסה בארה"ב, סבלה מהפסקות שירות באוקראינה ובכמה טריטוריות אירופיות אחרות בסוף פברואר 2022. כעת, חוקרים עם SentinelLabs טוענים שזו הייתה תוכנת הזדונית AcidRain ששימשה במתקפה שהפילה את תשתית Viasat.

AcidRain בשימוש בהתקפות קודמות

AcidRain הוא בינארי לינוקס שנועד למחוק ציוד רשת , כולל מודמים ונתבים. חוקרים מאמינים שזו הייתה אותה תוכנה זדונית שהפילה את החומרה של Viasat בסוף פברואר.

לפי צוות SentinelLabs, ישנם קווי דמיון מסוימים בין AcidRain לרכיב של תוכנת הזדונית VPNFilter . VPNFilter קיים כבר זמן מה, כאשר ה-FBI מנחה את כל משתמשי הנתב, אפילו אלה בבית, לאתחל את הנתבים שלהם באמצע 2018 , כדי למנוע התקפות פוטנציאליות של VPNFilter. VPNFilter היה קשור אז לשחקן האיומים הנתמך על ידי המדינה הרוסית בשם Fancy Bear או APT28.

לפי מידע שפרסמה Viasat עצמה, המתקפה שדחתה את השירות במצב לא מקוון בפברואר התמקדה בחלק אחד בלבד מרשת ה-KA-SAT של החברה המנוהלת ומופעלת על ידי חברת בת.

תוכנה זדונית משכתבת את קושחת הנתב

בכל הנוגע לאופן שבו AcidRain דופקת חומרה, Viasat קבעה שהתוכנה הזדונית משכתבת חלקים חשובים מזיכרון ההבזק במכשירים, מה שהופך את זה לבלתי אפשרי למכשיר נגוע לתקשר עם הרשת. עם זאת, הנזק אינו קבוע ומהבהב עם קושחת המפעל אמור להחזיר את היחידות לסדר.

נראה שנקודת הכניסה של שחקן האיום בהתקפה זו הייתה נקודת VPN מוגדרת בצורה גרועה. זה אפשר להאקרים לגשת לרכיבי הניהול של KA-SAT הממוקמים ברשת.

ZDNet דיווחה כי Viasat אישרה שהנתונים הפנימיים של החברה תואמים את הממצאים של הצוות ב-SentinelLabs, מלבד נקודה אחת - SentinelLabs מאמינה שהמתקפה הייתה מבוססת על שרשרת האספקה, בעוד Viasat טוענת שזה לא המקרה.

התוכנה הזדונית AcidRain היא האחרונה בסדרה של מטענים הרסניים של תוכנות זדוניות שנפרסו בשטחה של אוקראינה מאז תחילת הפלישה הרוסית למדינה. מטענים קודמים לא התמקדו בציוד רשת אלא באחסון ומחיקת נתונים.