Viasat에 대한 공격을 담당하는 AcidRain 악성 코드

Viasat은 2월에 회사 서비스를 중단시킨 사이버 공격의 원인이 되는 악성코드를 찾아냈다고 확인했습니다. 사용된 악성코드는 가칭 AcidRain 이며 파괴력이 있습니다.

미국에 본사를 둔 세계적인 통신 제공업체인 Viasat은 2022년 2월 말 우크라이나 및 기타 여러 유럽 지역에서 서비스 중단을 겪었습니다. 이제 SentinelLabs의 연구원들은 Viasat 인프라를 다운시킨 공격에 사용된 AcidRain 악성코드가 있다고 주장합니다.

초기 공격에 사용된 AcidRain

AcidRain은 모뎀과 라우터를 포함한 네트워킹 장비를 지우도록 설계된 Linux 바이너리 입니다. 연구원들은 2월 말에 Viasat의 하드웨어를 다운시킨 것이 동일한 악성코드라고 믿고 있습니다.

SentinelLabs 팀에 따르면 AcidRain과 VPNFilter 악성코드 의 구성 요소 사이에는 특정 유사점이 있습니다. VPNFilter는 FBI가 모든 라우터 사용자, 심지어 집에 있는 사용자에게 잠재적인 VPNFilter 공격을 피하기 위해 2018년 중반에 라우터를 재부팅할 것을 촉구하는 동안 사용되었습니다. VPNFilter는 Fancy Bear 또는 APT28이라는 이름의 러시아 국가 지원 위협 행위자와 연결되었습니다.

Viasat 자체에서 발표한 정보에 따르면 2월 서비스를 중단시킨 공격은 자회사에서 운영 및 운영하는 회사 KA-SAT 네트워크의 한 부분에만 집중되었습니다.

맬웨어가 라우터 펌웨어를 다시 작성합니다.

AcidRain이 하드웨어를 녹아웃시키는 방법과 관련하여 Viasat은 멀웨어가 장치에 있는 플래시 메모리의 중요한 부분을 다시 작성하여 감염된 장치가 네트워크와 통신할 수 없도록 한다고 말했습니다. 그러나 손상은 영구적이지 않으며 공장 펌웨어로 깜박이면 장치를 정상 상태로 되돌릴 수 있습니다.

이 공격의 위협 행위자의 진입 지점은 잘못 구성된 VPN 지점인 것 같습니다. 이를 통해 해커는 네트워크에 있는 KA-SAT 관리 구성 요소에 액세스할 수 있습니다.

ZDNet은 Viasat이 회사의 내부 데이터가 한 가지 점을 제외하고 SentinelLabs 팀의 결과와 일치한다고 확인했다고 보고했습니다. SentinelLabs는 공격이 공급망 기반일 수 있다고 생각하지만 Viasat은 그렇지 않다고 주장합니다.

AcidRain 맬웨어는 러시아 침공이 시작된 이후 우크라이나 영토에 배포된 일련의 파괴적인 맬웨어 페이로드 중 최신입니다. 이전 페이로드는 네트워킹 장비가 아니라 스토리지 및 데이터 삭제에 중점을 두었습니다.