Złośliwe oprogramowanie AcidRain odpowiedzialne za atak na Viasat
Viasat potwierdził, że zidentyfikował szkodliwe oprogramowanie odpowiedzialne za cyberatak, który spowodował wyłączenie usług firmy w lutym. Użyte złośliwe oprogramowanie jest wstępnie nazwane AcidRain i ma właściwości destrukcyjne.
Viasat, światowy dostawca usług komunikacyjnych z siedzibą w USA, doznał awarii usług na Ukrainie i kilku innych terytoriach europejskich pod koniec lutego 2022 r. Obecnie badacze z SentinelLabs twierdzą, że to złośliwe oprogramowanie AcidRain zostało użyte w ataku, który spowodował awarię infrastruktury Viasat.
AcidRain stosowany we wcześniejszych atakach
AcidRain to plik binarny dla Linuksa zaprojektowany do czyszczenia sprzętu sieciowego, w tym modemów i routerów. Badacze uważają, że to ten sam szkodliwy program, który zniszczył sprzęt Viasat pod koniec lutego.
Według zespołu SentinelLabs istnieją pewne podobieństwa między AcidRain a komponentem szkodliwego oprogramowania VPNFilter. VPNFilter istnieje już od jakiegoś czasu, a FBI zachęca wszystkich użytkowników routerów, nawet tych w domu, do ponownego uruchomienia routerów w połowie 2018 roku, aby uniknąć potencjalnych ataków VPNFilter. VPNFilter był wówczas powiązany z wspieranym przez państwo rosyjskim podmiotem zajmującym się zagrożeniami, znanym jako Fancy Bear lub APT28.
Jak wynika z informacji opublikowanych przez sam Viasat, atak, który spowodował wyłączenie usługi w lutym, był skoncentrowany tylko na jednej części sieci KA-SAT firmy, która jest zarządzana i obsługiwana przez spółkę zależną.
Złośliwe oprogramowanie przepisuje oprogramowanie routera
Jeśli chodzi o sposób, w jaki AcidRain niszczy sprzęt, Viasat stwierdził, że szkodliwe oprogramowanie przepisuje ważne części pamięci flash na urządzeniach, uniemożliwiając zainfekowanemu urządzeniu komunikację z siecią. Jednak uszkodzenie nie jest trwałe i flashowanie z fabrycznym oprogramowaniem powinno być w stanie przywrócić porządek w urządzeniach.
Wygląda na to, że punktem wejścia dla cyberprzestępcy w tym ataku był źle skonfigurowany punkt VPN. Umożliwiło to hakerom dostęp do komponentów zarządzania KA-SAT znajdujących się w sieci.
ZDNet poinformował, że Viasat potwierdził, że wewnętrzne dane firmy zgadzają się z ustaleniami zespołu z SentinelLabs, z wyjątkiem jednego punktu – SentinelLabs uważa, że atak mógł być oparty na łańcuchu dostaw, podczas gdy Viasat twierdzi, że tak nie jest.
Szkodliwe oprogramowanie AcidRain jest najnowszym z serii destrukcyjnych szkodliwych programów, które zostały rozmieszczone na terytorium Ukrainy od początku rosyjskiej inwazji na ten kraj. Poprzednie ładunki nie skupiały się na sprzęcie sieciowym, ale raczej na pamięci masowej i usuwaniu danych.