„AcidRain“ kenkėjiška programa, atsakinga už „Viasat“ ataką

„Viasat“ patvirtino, kad užfiksavo kenkėjišką programinę įrangą, atsakingą už kibernetinę ataką, kuri vasarį nutraukė bendrovės paslaugas. Naudojama kenkėjiška programa preliminariai pavadinta AcidRain ir turi destruktyvių savybių.

„Viasat“, pasaulinio ryšio tiekėjas, kurio būstinė yra JAV, 2022 m. vasario pabaigoje nutrūko Ukrainoje ir keliose kitose Europos teritorijose. Dabar „SentinelLabs“ tyrėjai teigia, kad „AcidRain“ kenkėjiška programa, kuri buvo panaudota atakoje, sužlugdė „Viasat“ infrastruktūrą.

AcidRain, naudotas ankstesniuose išpuoliuose

„AcidRain“ yra „Linux“ dvejetainis failas, sukurtas nuvalyti tinklo įrangą , įskaitant modemus ir maršrutizatorius. Tyrėjai mano, kad tai buvo ta pati kenkėjiška programa, kuri vasario pabaigoje pašalino „Viasat“ techninę įrangą.

Anot „SentinelLabs“ komandos, „AcidRain“ ir „ VPNFilter“ kenkėjiškos programos komponentas turi tam tikrų panašumų. VPNFilter veikia jau kurį laiką, o FTB ragina visus maršruto parinktuvų vartotojus, net ir tuos, kurie yra namuose, 2018 m. viduryje iš naujo paleisti maršruto parinktuvus , kad būtų išvengta galimų VPNFilter atakų. Tada VPNFilter buvo siejamas su Rusijos valstybės remiamu grėsmių veikėju, pavadintu Fancy Bear arba APT28.

Remiantis pačios Viasat paskelbta informacija, ataka, kuri vasarį nutraukė paslaugą, buvo nukreipta tik į vieną bendrovės KA-SAT tinklo dalį, kurią valdo ir valdo dukterinė įmonė.

Kenkėjiška programa perrašo maršrutizatoriaus programinę-aparatinę įrangą

Kalbant apie tai, kaip „AcidRain“ išmuša aparatinę įrangą, „Viasat“ teigė, kad kenkėjiška programa perrašo svarbias įrenginių „flash“ atminties dalis, todėl užkrėstam įrenginiui neįmanoma susisiekti su tinklu. Tačiau žala nėra nuolatinė ir mirksi naudojant gamyklinę programinę įrangą, kad įrenginiai būtų tvarkingi.

Atrodo, kad grėsmės veikėjo įėjimo taškas šioje atakoje buvo prastai sukonfigūruotas VPN taškas. Tai leido įsilaužėliams pasiekti tinkle esančius KA-SAT valdymo komponentus.

„ZDNet“ pranešė, kad „Viasat“ patvirtino, kad bendrovės vidiniai duomenys sutampa su „SentinelLabs“ komandos išvadomis, išskyrus vieną tašką – „SentinelLabs“ mano, kad ataka galėjo būti pagrįsta tiekimo grandine, o „Viasat“ tvirtina, kad taip nėra.

„AcidRain“ kenkėjiška programa yra naujausia iš daugybės destruktyvių kenkėjiškų programų, dislokuotų Ukrainos teritorijoje nuo Rusijos invazijos į šalį pradžios. Ankstesni naudingi kroviniai buvo skirti ne tinklo įrangai, o saugyklai ir duomenų valymui.