AcidRain Malware Ansvarig för attack mot Viasat
Viasat bekräftade att de hade fastställt den skadliga programvara som var ansvarig för cyberattacken som tog ner företagets tjänster i februari. Den skadliga programvaran som används heter preliminärt AcidRain och har destruktiva egenskaper.
Viasat, en världsomspännande kommunikationsleverantör med huvudkontor i USA, drabbades av tjänsteavbrott i Ukraina och flera andra europeiska territorier i slutet av februari 2022. Nu hävdar forskare med SentinelLabs att det var AcidRain skadlig kod som användes i attacken som sänkte Viasat-infrastrukturen.
AcidRain användes i tidigare attacker
AcidRain är en Linux-binär konstruerad för att torka nätverksutrustning, inklusive modem och routrar. Forskare tror att det var samma skadliga program som tog ner Viasats hårdvara i slutet av februari.
Enligt SentinelLabs-teamet finns det vissa likheter mellan AcidRain och en komponent av VPNFilter malware. VPNFilter har funnits ett tag nu, och FBI uppmanade alla routeranvändare, även de hemma, att starta om sina routrar redan i mitten av 2018, för att undvika potentiella VPNFilter-attacker. VPNFilter associerades sedan med den ryska statsstödda hotaktören som gick under namnet Fancy Bear eller APT28.
Enligt information som släppts av Viasat självt, var attacken som slog tjänsten offline i februari fokuserad på bara en del av företagets KA-SAT-nätverk som drivs och drivs av ett dotterbolag.
Skadlig programvara skriver om routerns firmware
När det kommer till hur AcidRain slår ut hårdvara, uppgav Viasat att skadlig programvara skriver om viktiga delar av flashminnet på enheterna, vilket gör det omöjligt för en infekterad enhet att kommunicera med nätverket. Skadan är dock inte permanent och blinkande med fabriksfirmware ska kunna få ordning på enheterna igen.
Det verkar som att ingångspunkten för hotaktören i denna attack var en dåligt konfigurerad VPN-punkt. Detta gjorde det möjligt för hackarna att komma åt KA-SAT-hanteringskomponenterna som finns på nätverket.
ZDNet rapporterade att Viasat bekräftade att företagets interna data stämmer överens med resultaten från teamet på SentinelLabs, förutom en punkt - SentinelLabs tror att attacken kan ha varit leverantörskedjebaserad, medan Viasat hävdar att så inte är fallet.
Skadlig programvara AcidRain är den senaste i en serie destruktiva nyttolaster för skadlig programvara som har utplacerats på Ukrainas territorium sedan starten av den ryska invasionen av landet. Tidigare nyttolaster fokuserade inte på nätverksutrustning utan snarare på lagring och datatorkning.