O Malware AcidRain é Responsável pelo Ataque à Viasat
A Viasat confirmou que localizou o malware responsável pelo ataque cibernético que derrubou os serviços da empresa em fevereiro. O malware usado é provisoriamente chamado de AcidRain e possui recursos destrutivos.
A Viasat, um provedor de comunicações mundial com sede nos EUA, sofreu interrupções de serviço na Ucrânia e em vários outros territórios europeus no final de fevereiro de 2022. Agora, os pesquisadores do SentinelLabs afirmam que foi o malware AcidRain que foi usado no ataque que derrubou a infraestrutura da Viasat.
O AcidRain já foi Usado em Ataques Anteriores
O AcidRain é um binário Linux, projetado para limpar equipamentos de rede, incluindo modems e roteadores. Os pesquisadores acreditam que ele foi o mesmo malware que derrubou o hardware da Viasat no final de fevereiro.
De acordo com a equipe do SentinelLabs, existem certas semelhanças entre o AcidRain e um componente do malware VPNFilter. O VPNFilter já existe há algum tempo, com o FBI solicitando que todos os usuários de roteadores, mesmo aqueles em casa, reinicassem os seus roteadores em meados de 2018, para evitar possíveis ataques do VPNFilter. O VPNFilter foi então associado ao agente de ameaças apoiado pelo estado russo, chamado Fancy Bear ou APT28.
De acordo com informações divulgadas pela própria Viasat, o ataque que derrubou o serviço em fevereiro foi focado em apenas uma parte da rede KA-SAT da empresa que é administrada e operada por uma subsidiária.
O Malware Reescreve o Firmware do Roteador
Quando se trata de como o AcidRain elimina o hardware, a Viasat afirmou que o malware reescreve partes importantes da memória flash dos dispositivos, impossibilitando a comunicação de um dispositivo infectado com a rede. No entanto, o dano não é permanente e flashing com o firmware de fábrica deve conseguir colocar as unidades de volta em ordem.
Parece que o ponto de entrada para o agente da ameaça neste ataque foi um ponto VPN mal configurado. Isso permitiu que os hackers acessassem os componentes de gerenciamento do KA-SAT localizados na rede.
O ZDNet informou que a Viasat confirmou que os dados internos da empresa estão alinhados com as descobertas da equipe do SentinelLabs, exceto por um ponto - o SentinelLabs acredita que o ataque pode ter sido baseado na cadeia de suprimentos, enquanto a Viasat afirma que não é o caso.
O malware AcidRain é o mais recente de uma série de cargas de malware destrutivas, implantadas no território da Ucrânia desde o início da invasão russa do país. As cargas úteis anteriores não se concentravam em equipamentos de rede, mas em armazenamento e limpeza de dados.