AcidRain Malware responsabil pentru atacul asupra Viasat
Viasat a confirmat că a identificat malware-ul responsabil pentru atacul cibernetic care a distrus serviciile companiei în februarie. Malware-ul folosit se numește provizoriu AcidRain și are capacități distructive.
Viasat, un furnizor de comunicații la nivel mondial cu sediul în SUA, a suferit întreruperi ale serviciului în Ucraina și în alte câteva teritorii europene la sfârșitul lunii februarie 2022. Acum, cercetătorii de la SentinelLabs susțin că malware-ul AcidRain a fost folosit în atac care a distrus infrastructura Viasat.
AcidRain folosit în atacurile anterioare
AcidRain este un sistem binar Linux conceput pentru a șterge echipamentele de rețea , inclusiv modemurile și routerele. Cercetătorii cred că a fost același malware care a distrus hardware-ul Viasat la sfârșitul lunii februarie.
Potrivit echipei SentinelLabs, există anumite asemănări între AcidRain și o componentă a malware-ului VPNFilter . VPNFilter există de ceva vreme, FBI-ul solicitând tuturor utilizatorilor de router, chiar și cei de acasă, să -și repornească routerele la jumătatea anului 2018 , pentru a evita potențialele atacuri VPNFilter. VPNFilter a fost apoi asociat cu actorul rus de amenințări susținut de stat, sub numele de Fancy Bear sau APT28.
Potrivit informațiilor publicate de Viasat însuși, atacul care a oprit serviciul în februarie s-a concentrat doar pe o singură parte a rețelei KA-SAT a companiei, care este condusă și operată de o filială.
Programele malware rescrie firmware-ul routerului
Când vine vorba de modul în care AcidRain elimină hardware-ul, Viasat a declarat că malware-ul rescrie porțiuni importante din memoria flash de pe dispozitive, făcând imposibil ca un dispozitiv infectat să comunice cu rețeaua. Cu toate acestea, deteriorarea nu este permanentă și intermiterea cu firmware-ul din fabrică ar trebui să poată aduce unitățile înapoi în ordine.
Se pare că punctul de intrare pentru actorul amenințării în acest atac a fost un punct VPN prost configurat. Acest lucru a permis hackerilor să acceseze componentele de management KA-SAT aflate în rețea.
ZDNet a raportat că Viasat a confirmat că datele interne ale companiei se aliniază cu constatările echipei de la SentinelLabs, cu excepția unui punct - SentinelLabs consideră că atacul ar fi putut fi bazat pe lanțul de aprovizionare, în timp ce Viasat susține că nu este cazul.
Programul malware AcidRain este cel mai recent dintr-o serie de încărcături utile distructive de malware desfășurate pe teritoriul Ucrainei de la începutul invaziei ruse a țării. Sarcinile utile anterioare nu se concentrau pe echipamentele de rețea, ci mai degrabă pe stocarea și ștergerea datelor.