AcidRain Malware

Újabb, az ukrán célpontok elleni támadásokban használt adattörlő kártevőt fedeztek fel kiberbiztonsági kutatók. Az AcidRain névre keresztelt fenyegetést egy káros támadás részeként telepítették, amelynek célja a műholdkezelő modemek megzavarása volt. A támadás 2022. február 24-én történt, és a KA-SAT műholdas szélessávú szolgáltatást célozta a SATCOM modemek adatainak törlésével és használhatatlanná tételével.

A kártevő fenyegetés célja, hogy brutális erővel behatoljon az eszközökbe, majd töröljön minden egyes fájlt, amelyet a feltört rendszereken talál. A telepítést követően az AcidRain végigmegy a fertőzött modem teljes fájlrendszerén. Ezenkívül képes törölni a flash memóriákat, az SD/MMC kártyákat és bármilyen virtuális blokkeszközt. Aljas céljait az általa azonosított összes lehetséges eszköz felhasználásával próbálja elérni. Az észlelt fájlok 0x40000 bájtnyi adat felülírásával megsemmisülnek. Az AcidRain az IOCTL (input/output control) rendszert is használja a MEMGETINFO, MEMUNLOCK, MEMERASE és MEMWRITEOOB hívásokat. A fájlok törlése után a kártevő újraindítja az eszközt, így az használhatatlan állapotba kerül.

A fenyegető műveleteket felfedező és elemző kutatók ellátási lánc támadásként írták le, amely egy kifejezetten modemek és routerek törlésére tervezett ablaktörlőt szállított. A Viasat, a megcélzott eszközök gyártója azonban visszautasította ezt a következtetést, és kijelentette, hogy nem találtak bizonyítékot az ellátási lánc interferenciájára. A cég továbbra is elismerte, hogy az AcidRain kártevő destruktív végrehajtható fájlját törvényes felügyeleti parancs segítségével telepítették az eszközökre.