AcidRain Malware

Badacze cyberbezpieczeństwa odkryli kolejne złośliwe oprogramowanie do wycierania danych wykorzystywane w atakach na cele ukraińskie. Zagrożenie o nazwie AcidRain zostało wykorzystane w ramach szkodliwego ataku, którego celem było zakłócenie działania modemów do zarządzania satelitami. Atak miał miejsce 24 lutego 2022 r. i był wymierzony w satelitarną usługę szerokopasmową KA-SAT, usuwając dane modemów SATCOM i uniemożliwiając ich używanie.

Zagrożenie złośliwym oprogramowaniem ma na celu brute-force przedostanie się na urządzenia, a następnie wyczyszczenie każdego pliku, który znajdzie w naruszonych systemach. Po wdrożeniu AcidRain przechodzi przez cały system plików zainfekowanego modemu. Ponadto może kasować pamięci flash, karty SD/MMC i dowolne wirtualne urządzenia blokowe. Stara się osiągnąć swoje nikczemne cele, używając wszystkich możliwych urządzeń, które identyfikuje. Wykryte pliki są niszczone poprzez nadpisanie ich zawartości do 0x40000 bajtów danych. AcidRain wykorzystuje również system IOCTL (kontrola wejścia/wyjścia) o nazwach MEMGETINFO, MEMUNLOCK, MEMERASE i MEMWRITEOOB. Po wyczyszczeniu plików złośliwe oprogramowanie ponownie uruchomi urządzenie, pozostawiając je w stanie bezużytecznym.

Badacze, którzy odkryli i przeanalizowali niebezpieczne operacje, opisali to jako atak łańcucha dostaw, który dostarczał wycieraczkę zaprojektowaną specjalnie do czyszczenia modemów i routerów. Jednak Viasat, producent docelowych urządzeń, odrzucił ten wniosek, stwierdzając, że nie znalazł żadnych dowodów na ingerencję w łańcuch dostaw. Firma nadal przyznawała, że niszczycielski plik wykonywalny złośliwego oprogramowania AcidRain został wdrożony na urządzeniach przy użyciu legalnego polecenia zarządzania.