Вредоносное ПО AcidRain ответственно за атаку на Viasat

Viasat подтвердила, что обнаружила вредоносное ПО, ответственное за кибератаку, которая привела к отключению услуг компании в феврале. Используемое вредоносное ПО предварительно называется AcidRain и имеет деструктивные возможности.

Viasat, мировой провайдер связи со штаб-квартирой в США, в конце февраля 2022 года столкнулся с перебоями в обслуживании в Украине и ряде других европейских территорий. Теперь исследователи из SentinelLabs утверждают, что в атаке использовалось вредоносное ПО AcidRain, которое вывело из строя инфраструктуру Viasat.

AcidRain использовался в более ранних атаках

AcidRain — это бинарный файл Linux, предназначенный для очистки сетевого оборудования , включая модемы и маршрутизаторы. Исследователи полагают, что это была та самая вредоносная программа, которая вывела из строя оборудование Viasat в конце февраля.

По данным команды SentinelLabs, между AcidRain и компонентом вредоносного ПО VPNFilter есть определенное сходство. VPNFilter существует уже некоторое время, и ФБР предложило всем пользователям маршрутизаторов, даже тем, кто находится дома, перезагрузить свои маршрутизаторы еще в середине 2018 года, чтобы избежать потенциальных атак VPNFilter. Затем VPNFilter был связан с поддерживаемым государством российским злоумышленником под именем Fancy Bear или APT28.

Согласно информации, опубликованной самой Viasat, атака, которая отключила сервис в феврале, была сосредоточена только на одной части сети KA-SAT компании, которая управляется и управляется дочерней компанией.

Вредоносное ПО перезаписывает прошивку роутера

Что касается того, как AcidRain выводит из строя оборудование, Viasat заявила, что вредоносное ПО перезаписывает важные части флэш-памяти на устройствах, что делает невозможным взаимодействие зараженного устройства с сетью. Тем не менее, повреждение не является постоянным, и перепрошивка заводской прошивкой должна привести устройства в порядок.

Похоже, что точкой входа для злоумышленника в этой атаке была плохо настроенная точка VPN. Это позволило хакерам получить доступ к компонентам управления KA-SAT, расположенным в сети.

ZDNet сообщил, что Viasat подтвердил, что внутренние данные компании совпадают с выводами группы SentinelLabs, за исключением одного момента: SentinelLabs считает, что атака могла быть основана на цепочке поставок, в то время как Viasat утверждает, что это не так.

Вредонос AcidRain является последним из серии деструктивных вредоносных программ, развернутых на территории Украины с начала российского вторжения в страну. Предыдущие полезные нагрузки были сосредоточены не на сетевом оборудовании, а на хранении и удалении данных.