AcidRain Malware

Siber güvenlik araştırmacıları, Ukrayna hedeflerine yönelik saldırılarda kullanılan başka bir veri silecek kötü amaçlı yazılımı ortaya çıkardı. AcidRain adlı tehdit, uydu yönetim modemlerini bozmayı amaçlayan zararlı bir saldırının parçası olarak konuşlandırıldı. 24 Şubat 2022 tarihinde gerçekleşen saldırıda SATCOM modemlerin verilerini silip kullanılamaz hale getirerek KA-SAT uydu genişbant hizmetini hedef aldı.

Kötü amaçlı yazılım tehdidi, cihazlara kaba kuvvet uygulamak ve ardından ihlal edilen sistemlerde bulduğu her dosyayı silmek için tasarlanmıştır. Bir kez konuşlandırıldığında, AcidRain virüslü modemin tüm dosya sisteminden geçer. Ayrıca flash bellekleri, SD/MMC kartları ve herhangi bir sanal blok aygıtını silebilir. Tanımladığı tüm olası cihazları kullanarak hain hedeflerine ulaşmaya çalışır. Algılanan dosyalar, içerikleri 0x40000 bayta kadar olan verilerin üzerine yazılarak yok edilir. AcidRain ayrıca MEMGETINFO, MEMUNLOCK, MEMERASE ve MEMWRITEOOB çağrıları yapan IOCTL (giriş/çıkış kontrolü) sistemini kullanır. Dosyaları sildikten sonra, kötü amaçlı yazılım cihazı yeniden başlatarak kullanılamaz bir durumda bırakır.

Tehdit edici operasyonları keşfeden ve analiz eden araştırmacılar, bunu, özellikle modemleri ve yönlendiricileri silmek için tasarlanmış bir silecek sağlayan bir tedarik zinciri saldırısı olarak tanımladılar. Ancak hedeflenen cihazların üreticisi Viasat, tedarik zinciri müdahalesine dair hiçbir kanıt bulamadıklarını belirterek bu sonuca karşı çıktı. Şirket yine de AcidRain kötü amaçlı yazılımının yıkıcı yürütülebilir dosyasının meşru bir yönetim komutu kullanılarak cihazlara yerleştirildiğini kabul etti.