A Viasat elleni támadásért felelős AcidRain malware
A Viasat megerősítette, hogy felderítette azt a rosszindulatú programot, amely felelős a cég szolgáltatásait februárban megfosztó kibertámadásért. A használt rosszindulatú program feltételesen AcidRain nevet visel, és pusztító képességekkel rendelkezik.
A Viasat, az Egyesült Államokban székhellyel rendelkező világméretű kommunikációs szolgáltató szolgáltatáskimaradásokat szenvedett Ukrajnában és számos más európai területen 2022 februárjának végén. A SentinelLabs kutatói most azt állítják, hogy a támadás során az AcidRain kártevő tönkretette a Viasat infrastruktúráját.
Korábbi támadásokban használt AcidRain
Az AcidRain egy Linux bináris program, amelyet a hálózati berendezések , köztük a modemek és útválasztók törlésére terveztek. A kutatók úgy vélik, hogy ugyanaz a rosszindulatú program volt, amely február végén leszedte a Viasat hardverét.
A SentinelLabs csapata szerint van bizonyos hasonlóság az AcidRain és a VPNFilter rosszindulatú program egyik összetevője között. A VPNFilter már egy ideje létezik, az FBI arra kérte az útválasztó összes felhasználóját, még az otthoniakat is, hogy 2018 közepén indítsa újra útválasztóját , hogy elkerülje a lehetséges VPNFilter-támadásokat. A VPNFiltert akkoriban az orosz állami támogatású fenyegetésekkel társították Fancy Bear vagy APT28 néven.
A Viasat által kiadott információk szerint a februárban a szolgáltatást offline állapotba hozó támadás a vállalat KA-SAT hálózatának csak egy részére irányult, amelyet egy leányvállalat üzemeltet és üzemeltet.
A rosszindulatú programok átírják a router firmware-jét
Amikor arról van szó, hogy az AcidRain hogyan üti ki a hardvert, a Viasat kijelentette, hogy a kártevő átírja az eszközök flash memóriájának fontos részeit, így lehetetlenné teszi a fertőzött eszköz számára a hálózattal való kommunikációt. A sérülés azonban nem maradandó, és a gyári firmware-rel villogva kell tudnia helyreállítani az egységeket.
Úgy tűnik, hogy a fenyegetés szereplőjének belépési pontja ebben a támadásban egy rosszul konfigurált VPN-pont volt. Ez lehetővé tette a hackerek számára, hogy hozzáférjenek a hálózaton található KA-SAT felügyeleti összetevőihez.
A ZDNet jelentése szerint a Viasat megerősítette, hogy a vállalat belső adatai összhangban vannak a SentinelLabs csapatának megállapításaival, egy pont kivételével – a SentinelLabs úgy véli, hogy a támadás ellátási láncon alapulhatott, míg a Viasat azt állítja, hogy ez nem így van.
Az AcidRain kártevő a legfrissebb az Ukrajna területén az országot ért orosz invázió kezdete óta telepített, pusztító kártevő rakományok sorozatában. A korábbi hasznos terhek nem a hálózati berendezésekre, hanem a tárolásra és az adatok törlésére összpontosítottak.