AcidRain skadelig programvare

En annen datavisker-skadevare utnyttet i angrep mot ukrainske mål har blitt avdekket av cybersikkerhetsforskere. Trusselen, kalt AcidRain, ble utplassert som en del av et skadelig angrep rettet mot å forstyrre satellittadministrasjonsmodemene. Angrepet fant sted 24. februar 2022, og målrettet KA-SAT satellittbredbåndstjeneste ved å tørke dataene til SATCOM-modemer og gjøre dem ubrukelige.

Skadevaretrusselen er designet for å brutalt tvinge seg inn i enhetene og deretter tørke ut hver eneste fil den finner på de overtrådte systemene. Når den er distribuert, går AcidRain gjennom hele filsystemet til det infiserte modemet. I tillegg kan den slette flashminner, SD/MMC-kort og eventuelle virtuelle blokkenheter. Den prøver å oppnå sine uhyggelige mål ved å bruke alle mulige enheter den identifiserer. De oppdagede filene blir ødelagt ved at innholdet på opptil 0x40000 byte med data blir overskrevet. AcidRain bruker også IOCTL (input/output control) systemet kaller MEMGETINFO, MEMUNLOCK, MEMERASE og MEMWRITEOOB. Etter å ha tørket filene, vil skadelig programvare starte enheten på nytt, og etterlate den i en ubrukelig tilstand.

Forskerne som oppdaget og analyserte de truende operasjonene beskrev det som et forsyningskjedeangrep som leverte en visker designet spesielt for å tørke modemer og rutere. Viasat, produsenten av de målrettede enhetene, presset imidlertid tilbake mot denne konklusjonen ved å uttale at de ikke har funnet noen bevis for interferens i forsyningskjeden. Selskapet erkjente fortsatt at den destruktive kjørbare filen til AcidRain malware ble distribuert på enhetene ved hjelp av en legitim administrasjonskommando.