AcidRain Malware Ansvarlig for angrep på Viasat
Viasat bekreftet at de hadde festet skadevaren som var ansvarlig for nettangrepet som tok ned selskapets tjenester i februar. Skadevaren som brukes, heter foreløpig AcidRain og har destruktive egenskaper.
Viasat, en verdensomspennende kommunikasjonsleverandør med hovedkontor i USA, fikk tjenesteavbrudd i Ukraina og flere andre europeiske territorier i slutten av februar 2022. Nå hevder forskere med SentinelLabs at det var AcidRain malware som ble brukt i angrepet som brakte Viasat-infrastrukturen ned.
AcidRain brukt i tidligere angrep
AcidRain er en Linux-binær konstruert for å tørke nettverksutstyr , inkludert modemer og rutere. Forskere mener det var samme skadevare som tok ned Viasats maskinvare i slutten av februar.
I følge SentinelLabs-teamet er det visse likheter mellom AcidRain og en komponent av VPNFilter malware . VPNFilter har eksistert en stund nå, og FBI har bedt alle ruterbrukere, selv de hjemme, om å starte ruterne på nytt i midten av 2018 , for å unngå potensielle VPNFilter-angrep. VPNFilter ble deretter assosiert med den russiske statsstøttede trusselaktøren som gikk under navnet Fancy Bear eller APT28.
Ifølge informasjon utgitt av Viasat selv, var angrepet som slo tjenesten offline i februar fokusert på bare én del av selskapets KA-SAT-nettverk som drives og drives av et datterselskap.
Skadelig programvare omskriver ruterens fastvare
Når det kommer til hvordan AcidRain slår ut maskinvare, uttalte Viasat at skadevaren omskriver viktige deler av flashminnet på enhetene, noe som gjør det umulig for en infisert enhet å kommunisere med nettverket. Skaden er imidlertid ikke permanent og blinking med fabrikkfastvare skal kunne få enhetene i orden igjen.
Det ser ut til at inngangspunktet for trusselaktøren i dette angrepet var et dårlig konfigurert VPN-punkt. Dette tillot hackerne å få tilgang til KA-SAT-administrasjonskomponentene på nettverket.
ZDNet rapporterte at Viasat bekreftet at selskapets interne data stemmer overens med funnene til teamet ved SentinelLabs, bortsett fra ett punkt – SentinelLabs mener angrepet kan ha vært forsyningskjedebasert, mens Viasat hevder at det ikke er tilfelle.
AcidRain-skadevare er den siste i en serie av ødeleggende skadelig programvare som er utplassert på Ukrainas territorium siden starten av den russiske invasjonen av landet. Tidligere nyttelaster fokuserte ikke på nettverksutstyr, men heller på lagring og sletting av data.