AcidRain Malware

Een andere malware voor het wissen van gegevens die is gebruikt bij aanvallen op Oekraïense doelen, is ontdekt door cyberbeveiligingsonderzoekers. De dreiging, genaamd AcidRain, werd ingezet als onderdeel van een schadelijke aanval gericht op het verstoren van de satellietbeheermodems. De aanval vond plaats op 24 februari 2022 en was gericht op de KA-SAT-satellietbreedbanddienst door de gegevens van SATCOM-modems te wissen en ze onbruikbaar te maken.

De malwarebedreiging is ontworpen om met brute kracht een weg naar de apparaten te vinden en vervolgens elk bestand dat het op de gehackte systemen vindt, te wissen. Eenmaal geïmplementeerd, doorloopt AcidRain het volledige bestandssysteem van de geïnfecteerde modem. Bovendien kan het flash-geheugens, SD/MMC-kaarten en alle virtuele blokapparaten wissen. Het probeert zijn snode doelen te bereiken door alle mogelijke apparaten te gebruiken die het identificeert. De gedetecteerde bestanden worden vernietigd doordat hun inhoud tot 0x40000 bytes aan gegevens wordt overschreven. AcidRain maakt ook gebruik van de IOCTL (input/output control) systeemaanroepen MEMGETINFO, MEMUNLOCK, MEMERASE en MEMWRITEOOB. Nadat de bestanden zijn gewist, zal de malware het apparaat opnieuw opstarten, waardoor het onbruikbaar blijft.

De onderzoekers die de bedreigende operaties ontdekten en analyseerden, beschreven het als een supply chain-aanval die een wisser opleverde die speciaal was ontworpen om modems en routers te wissen. Viasat, de maker van de gerichte apparaten, verzette zich echter tegen die conclusie door te stellen dat ze geen bewijs hebben gevonden van interferentie in de toeleveringsketen. Het bedrijf erkende nog steeds dat het destructieve uitvoerbare bestand van de AcidRain-malware op de apparaten was ingezet met behulp van een legitiem beheercommando.