Viasat Saldırısından AcidRain Kötü Amaçlı Yazılım Sorumlusu
Viasat, Şubat ayında şirketin hizmetlerini çökerten siber saldırıdan sorumlu kötü amaçlı yazılımı tespit ettiğini doğruladı. Kullanılan kötü amaçlı yazılım, geçici olarak AcidRain olarak adlandırılmıştır ve yıkıcı yeteneklere sahiptir.
Merkezi ABD'de bulunan dünya çapında bir iletişim sağlayıcısı olan Viasat, Şubat 2022'nin sonlarında Ukrayna'da ve diğer bazı Avrupa topraklarında hizmet kesintileri yaşadı. Şimdi, SentinelLabs araştırmacıları, Viasat altyapısını çökerten saldırıda kullanılan AcidRain kötü amaçlı yazılımı olduğunu iddia ediyor.
Daha önceki saldırılarda kullanılan AcidRain
AcidRain, modemler ve yönlendiriciler dahil olmak üzere ağ ekipmanlarını silmek için tasarlanmış bir Linux ikili programıdır. Araştırmacılar, Şubat ayı sonlarında Viasat'ın donanımını çökerten aynı kötü amaçlı yazılım olduğuna inanıyor.
SentinelLabs ekibine göre, AcidRain ile VPNFilter kötü amaçlı yazılımının bir bileşeni arasında belirli benzerlikler var. VPNFilter bir süredir piyasada ve FBI, potansiyel VPNFilter saldırılarını önlemek için tüm yönlendirici kullanıcılarından, evdekilerden bile yönlendiricilerini 2018'in ortalarında yeniden başlatmalarını istiyor. VPNFilter daha sonra Fancy Bear veya APT28 adıyla giden Rus devlet destekli tehdit aktörü ile ilişkilendirildi.
Viasat'ın kendisi tarafından yayınlanan bilgilere göre, Şubat ayında hizmeti devre dışı bırakan saldırı, şirketin bir yan kuruluş tarafından işletilen ve işletilen KA-SAT ağının yalnızca bir kısmına odaklandı.
Kötü amaçlı yazılım, yönlendirici ürün yazılımını yeniden yazar
AcidRain'in donanımı nasıl devre dışı bıraktığına gelince, Viasat, kötü amaçlı yazılımın cihazlardaki flash belleğin önemli kısımlarını yeniden yazdığını ve virüslü bir cihazın ağ ile iletişim kurmasını imkansız hale getirdiğini belirtti. Ancak, hasar kalıcı değildir ve fabrika yazılımı ile yanıp sönme, üniteleri tekrar düzene sokabilmelidir.
Bu saldırıdaki tehdit aktörünün giriş noktası, kötü yapılandırılmış bir VPN noktası gibi görünüyor. Bu, bilgisayar korsanlarının ağda bulunan KA-SAT yönetim bileşenlerine erişmesine izin verdi.
ZDNet, Viasat'ın şirketin dahili verilerinin bir nokta dışında SentinelLabs'taki ekibin bulgularıyla aynı hizada olduğunu doğruladığını bildirdi - SentinelLabs saldırının tedarik zincirine dayalı olabileceğine inanırken Viasat durumun böyle olmadığını iddia ediyor.
AcidRain kötü amaçlı yazılımı, Rusya'nın ülkeyi işgalinin başlangıcından bu yana Ukrayna topraklarında konuşlandırılan bir dizi yıkıcı kötü amaçlı yazılım yükünün en sonuncusu. Önceki yükler ağ ekipmanına değil, depolama ve veri silmeye odaklanıyordu.