Зловмисне програмне забезпечення AcidRain

Дослідники кібербезпеки виявили ще одне зловмисне програмне забезпечення для очищення даних, яке використовувалося для атак на українські об’єкти. Загроза під назвою AcidRain була розгорнута як частина шкідливої атаки, спрямованої на порушення роботи модемів супутникового керування. Атака відбулася 24 лютого 2022 року та була спрямована на супутникову широкосмугову послугу KA-SAT, видаляючи дані модемів SATCOM і роблячи їх непридатними.

Загроза зловмисного програмного забезпечення розроблена для того, щоб грубим шляхом проникнути в пристрої, а потім стерти кожен файл, який вона знаходить у зламаних системах. Після розгортання AcidRain проходить через всю файлову систему зараженого модему. Крім того, він може стирати флеш-пам’ять, карти SD/MMC та будь-які віртуальні блокові пристрої. Він намагається досягти своїх підлих цілей, використовуючи всі можливі пристрої, які він визначає. Виявлені файли знищуються шляхом перезапису їх вмісту до 0x40000 байт даних. AcidRain також використовує системні виклики IOCTL (контроль введення/виводу) MEMGETINFO, MEMUNLOCK, MEMERASE і MEMWRITEOOB. Після видалення файлів зловмисне програмне забезпечення перезавантажить пристрій, залишивши його в непридатному стані.

Дослідники, які виявили та проаналізували загрозливі операції, описали це як атаку на ланцюжок поставок, яка доставила wiper, розроблений спеціально для очищення модемів і маршрутизаторів. Однак Viasat, виробник цільових пристроїв, відмовився від цього висновку, заявивши, що не знайшов жодних доказів втручання в ланцюжок поставок. Компанія все ще визнала, що руйнівний виконуваний файл зловмисного програмного забезпечення AcidRain був розгорнутий на пристроях за допомогою законної команди керування.