Зловмисне програмне забезпечення AcidRain, відповідальне за атаку на Viasat

Viasat підтвердив, що він виявив шкідливе програмне забезпечення, відповідальне за кібератаку, яка зруйнувала послуги компанії в лютому. Використане зловмисне програмне забезпечення умовно називається AcidRain і має деструктивні можливості.

Viasat, всесвітній постачальник комунікацій зі штаб-квартирою в США, зазнав відключень в Україні та кількох інших європейських територіях наприкінці лютого 2022 року. Тепер дослідники з SentinelLabs стверджують, що в атаці було використано шкідливе програмне забезпечення AcidRain, яке зруйнувало інфраструктуру Viasat.

AcidRain використовувався в попередніх атаках

AcidRain — це двійковий файл Linux, розроблений для очищення мережевого обладнання , включаючи модеми та маршрутизатори. Дослідники вважають, що це було те саме зловмисне програмне забезпечення, яке знищило обладнання Viasat наприкінці лютого.

За словами команди SentinelLabs, існує певна схожість між AcidRain та компонентом шкідливого програмного забезпечення VPNFilter . VPNFilter існує вже деякий час, і ФБР закликало всіх користувачів маршрутизаторів, навіть тих, хто знаходиться вдома, перезавантажити свої маршрутизатори ще в середині 2018 року, щоб уникнути потенційних атак VPNFilter. Тоді VPNFilter був пов’язаний із підтримуваним державою російською загрозою під назвою Fancy Bear або APT28.

Згідно з інформацією, оприлюдненою самим Viasat, атака, яка вивела службу з мережі в лютому, була зосереджена лише на одній частині мережі KA-SAT компанії, яка керується дочірньою компанією.

Шкідливе програмне забезпечення переписує прошивку маршрутизатора

Коли справа доходить до того, як AcidRain вибиває апаратне забезпечення, Viasat заявив, що зловмисне програмне забезпечення перезаписує важливі частини флеш-пам’яті на пристроях, унеможливлюючи зв’язок інфікованого пристрою з мережею. Однак пошкодження не є постійними, і перепрошивка заводським програмним забезпеченням повинна дозволити привести блоки в порядок.

Здається, точкою входу для загрози в цій атаці була погано налаштована точка VPN. Це дозволило хакерам отримати доступ до компонентів управління KA-SAT, розташованих у мережі.

ZDNet повідомив, що Viasat підтвердив, що внутрішні дані компанії збігаються з висновками команди SentinelLabs, за винятком одного моменту – SentinelLabs вважає, що атака могла бути заснована на ланцюжках поставок, тоді як Viasat стверджує, що це не так.

Зловмисне програмне забезпечення AcidRain є останнім у серії шкідливих шкідливих програм, які були розгорнуті на території України з початку російського вторгнення в країну. Попередні корисні навантаження були зосереджені не на мережевому обладнанні, а на сховищі та очищенні даних.