AcidRain Malware verantwoordelijk voor aanval op Viasat
Viasat bevestigde dat het de malware had opgespoord die verantwoordelijk was voor de cyberaanval die de diensten van het bedrijf in februari platlegde. De gebruikte malware heet voorlopig AcidRain en heeft destructieve mogelijkheden.
Viasat, een wereldwijde communicatieprovider met het hoofdkantoor in de VS, had eind februari 2022 te maken met uitval van diensten in Oekraïne en verschillende andere Europese gebieden. Nu beweren onderzoekers van SentinelLabs dat het de AcidRain-malware was die werd gebruikt bij de aanval die de infrastructuur van Viasat platlegde.
AcidRain gebruikt bij eerdere aanvallen
AcidRain is een Linux-binary die is ontworpen om netwerkapparatuur te wissen, inclusief modems en routers. Onderzoekers denken dat het dezelfde malware was die eind februari de hardware van Viasat heeft verwijderd.
Volgens het team van SentinelLabs zijn er bepaalde overeenkomsten tussen AcidRain en een onderdeel van de VPNFilter-malware. VPNFilter bestaat al een tijdje, waarbij de FBI alle routergebruikers, zelfs degenen die thuis zijn, heeft gevraagd hun routers medio 2018 opnieuw op te starten om mogelijke VPNFilter-aanvallen te voorkomen. VPNFilter werd vervolgens in verband gebracht met de door de Russische staat gesteunde dreigingsactor met de naam Fancy Bear of APT28.
Volgens informatie die door Viasat zelf is vrijgegeven, was de aanval die de service in februari offline zette, gericht op slechts een deel van het KA-SAT-netwerk van het bedrijf dat wordt beheerd en geëxploiteerd door een dochteronderneming.
Malware herschrijft routerfirmware
Wat betreft de manier waarop AcidRain hardware uitschakelt, stelt Viasat dat de malware belangrijke delen van het flashgeheugen op de apparaten herschrijft, waardoor het onmogelijk wordt voor een geïnfecteerd apparaat om met het netwerk te communiceren. De schade is echter niet blijvend en flashen met fabrieksfirmware zou de units weer op orde moeten kunnen krijgen.
Het lijkt erop dat het toegangspunt voor de dreigingsactor in deze aanval een slecht geconfigureerd VPN-punt was. Hierdoor kregen de hackers toegang tot de KA-SAT-beheercomponenten op het netwerk.
ZDNet meldde dat Viasat bevestigde dat de interne gegevens van het bedrijf overeenkomen met de bevindingen van het team van SentinelLabs, op één punt na: SentinelLabs gelooft dat de aanval mogelijk op de toeleveringsketen is gebaseerd, terwijl Viasat beweert dat dat niet het geval is.
De AcidRain-malware is de nieuwste in een reeks destructieve malware-payloads die op het grondgebied van Oekraïne zijn ingezet sinds het begin van de Russische invasie van het land. Eerdere payloads waren niet gericht op netwerkapparatuur, maar eerder op opslag en het wissen van gegevens.