Zlonamerna programska oprema AcidRain

Raziskovalci kibernetske varnosti so odkrili še eno zlonamerno programsko opremo za brisanje podatkov, ki je bila uporabljena pri napadih na ukrajinske cilje. Poimenovana AcidRain, je bila grožnja uporabljena kot del škodljivega napada, katerega cilj je bil motiti modeme za satelitsko upravljanje. Napad se je zgodil 24. februarja 2022 in je ciljal na satelitsko širokopasovno storitev KA-SAT, tako da so izbrisali podatke modemov SATCOM in jih naredili neuporabni.

Grožnja z zlonamerno programsko opremo je zasnovana tako, da z grobo silo vdre v naprave in nato izbriše vsako posamezno datoteko, ki jo najde v vlomljenih sistemih. Ko je AcidRain nameščen, gre skozi celoten datotečni sistem okuženega modema. Poleg tega lahko izbriše bliskovne pomnilnike, kartice SD/MMC in vse virtualne blokovne naprave. Svoje zlobne cilje poskuša doseči z uporabo vseh možnih naprav, ki jih identificira. Zaznane datoteke se uničijo tako, da se njihova vsebina do 0x40000 bajtov podatkov prepiše. AcidRain uporablja tudi sistemske klice IOCTL (input/output control) MEMGETINFO, MEMUNLOCK, MEMERASE in MEMWRITEOOB. Po brisanju datotek bo zlonamerna programska oprema znova zagnala napravo in jo pustila v neuporabnem stanju.

Raziskovalci, ki so odkrili in analizirali grozeče operacije, so ga opisali kot napad na dobavno verigo, ki je prinesel brisalec, zasnovan posebej za brisanje modemov in usmerjevalnikov. Vendar pa je Viasat, proizvajalec ciljnih naprav, nasprotoval temu sklepu z navedbo, da niso našli dokazov o vmešavanju v dobavno verigo. Podjetje je še vedno priznalo, da je bila uničujoča izvedljiva programska oprema AcidRain nameščena na napravah z uporabo zakonitega ukaza za upravljanje.