Computer Security Malware AcidRain responsabile dell'attacco a Viasat

Malware AcidRain responsabile dell'attacco a Viasat

Viasat ha confermato di aver individuato il malware responsabile dell'attacco informatico che ha bloccato i servizi dell'azienda a febbraio. Il malware utilizzato è provvisoriamente chiamato AcidRain e ha capacità distruttive.

Viasat, un fornitore di comunicazioni a livello mondiale con sede negli Stati Uniti, ha subito interruzioni del servizio in Ucraina e in molti altri territori europei alla fine di febbraio 2022. Ora, i ricercatori di SentinelLabs affermano che è stato il malware AcidRain a essere utilizzato nell'attacco a far crollare l'infrastruttura Viasat.

AcidRain usato negli attacchi precedenti

AcidRain è un binario Linux progettato per cancellare le apparecchiature di rete, inclusi modem e router. I ricercatori ritengono che sia stato lo stesso malware che ha rimosso l'hardware di Viasat alla fine di febbraio.

Secondo il team di SentinelLabs, ci sono alcune somiglianze tra AcidRain e un componente del malware VPNFilter. VPNFilter è in circolazione da un po' di tempo ormai, con l'FBI che ha spinto tutti gli utenti del router, anche quelli a casa, a riavviare i propri router a metà del 2018, per evitare potenziali attacchi VPNFilter. VPNFilter è stato quindi associato all'attore di minacce sostenuto dallo stato russo chiamato Fancy Bear o APT28.

Secondo le informazioni rilasciate dalla stessa Viasat, l'attacco che ha messo offline il servizio a febbraio si è concentrato solo su una parte della rete KA-SAT dell'azienda, gestita e gestita da una sussidiaria.

Il malware riscrive il firmware del router

Quando si tratta di come AcidRain elimina l'hardware, Viasat ha affermato che il malware riscrive porzioni importanti della memoria flash sui dispositivi, rendendo impossibile per un dispositivo infetto comunicare con la rete. Tuttavia, il danno non è permanente e il flashing con il firmware di fabbrica dovrebbe essere in grado di rimettere in ordine le unità.

Sembra che il punto di ingresso per l'attore della minaccia in questo attacco fosse un punto VPN mal configurato. Ciò ha consentito agli hacker di accedere ai componenti di gestione KA-SAT situati sulla rete.

ZDNet ha riferito che Viasat ha confermato che i dati interni dell'azienda sono in linea con i risultati del team di SentinelLabs, ad eccezione di un punto: SentinelLabs ritiene che l'attacco potrebbe essere basato sulla catena di approvvigionamento, mentre Viasat afferma che non è così.

Il malware AcidRain è l'ultimo di una serie di malware distruttivi distribuiti sul territorio ucraino dall'inizio dell'invasione russa del paese. I carichi utili precedenti non si concentravano sulle apparecchiature di rete, ma piuttosto sull'archiviazione e sulla cancellazione dei dati.

Caricamento in corso...