Вредоносное ПО AcidRain

Исследователи кибербезопасности обнаружили еще одну вредоносную программу для удаления данных, которая использовалась в атаках на украинские цели. Эта угроза, получившая название AcidRain, была развернута в рамках вредоносной атаки, направленной на нарушение работы модемов управления спутниками. Атака произошла 24 февраля 2022 года и была нацелена на службу спутниковой широкополосной связи KA-SAT, стерев данные модемов SATCOM и сделав их непригодными для использования.

Угроза вредоносного ПО предназначена для проникновения на устройства методом грубой силы, а затем стирания каждого файла, который он находит на взломанных системах. После развертывания AcidRain проходит через всю файловую систему зараженного модема. Кроме того, он может стирать флэш-память, карты SD/MMC и любые виртуальные блочные устройства. Он пытается достичь своих гнусных целей, используя все возможные устройства, которые он идентифицирует. Обнаруженные файлы уничтожаются путем перезаписи их содержимого до 0x40000 байт данных. AcidRain также использует системные вызовы IOCTL (управление вводом/выводом) MEMGETINFO, MEMUNLOCK, MEMERASE и MEMWRITEOOB. После очистки файлов вредоносное ПО перезагрузит устройство, оставив его в непригодном для использования состоянии.

Исследователи, обнаружившие и проанализировавшие опасные операции, описали их как атаку на цепочку поставок, в результате которой был создан вайпер, специально предназначенный для очистки модемов и маршрутизаторов. Однако компания Viasat, производитель целевых устройств, выступила против этого вывода, заявив, что не обнаружила доказательств вмешательства в цепочку поставок. Компания по-прежнему признает, что деструктивный исполняемый файл вредоносного ПО AcidRain был развернут на устройствах с использованием легитимной команды управления.