AcidRain Malware

En annan skadlig programvara för datatorkare som utnyttjas i attacker mot ukrainska mål har upptäckts av cybersäkerhetsforskare. Hotet, som heter AcidRain, utplacerades som en del av en skadlig attack som syftade till att störa satellithanteringsmodem. Attacken ägde rum den 24 februari 2022 och riktade sig mot KA-SATs satellitbredbandstjänst genom att torka data från SATCOM-modem och göra dem oanvändbara.

Hotet med skadlig programvara är designat för att brutalt tvinga sig in i enheterna och sedan radera varje enskild fil som den hittar på de överträdda systemen. När AcidRain väl har installerats går det igenom hela filsystemet för det infekterade modemet. Dessutom kan den torka flashminnen, SD/MMC-kort och alla virtuella blockenheter. Den försöker uppnå sina skändliga mål genom att använda alla möjliga enheter som den identifierar. De upptäckta filerna förstörs genom att innehållet på upp till 0x40000 byte med data skrivs över. AcidRain använder också IOCTL-systemet (input/output control) som anropar MEMGETINFO, MEMUNLOCK, MEMERASE och MEMWRITEOOB. Efter att ha torkat filerna kommer skadlig programvara att starta om enheten och lämna den i ett oanvändbart tillstånd.

Forskarna som upptäckte och analyserade de hotfulla operationerna beskrev det som en försörjningskedjasattack som levererade en torkare designad speciellt för att torka modem och routrar. Viasat, tillverkaren av de riktade enheterna, tryckte dock tillbaka mot den slutsatsen genom att säga att de inte har hittat några bevis på störningar i leveranskedjan. Företaget erkände fortfarande att den destruktiva körbara filen för AcidRain skadlig programvara distribuerades på enheterna med ett legitimt hanteringskommando.