AcidRain 恶意软件负责攻击 Viasat

Viasat 证实，它已经确定了导致 2 月份该公司服务瘫痪的网络攻击的恶意软件。使用的恶意软件暂定名为AcidRain ，具有破坏性能力。

总部位于美国的全球通信提供商 Viasat 于 2022 年 2 月下旬在乌克兰和其他几个欧洲地区遭遇服务中断。现在，SentinelLabs 的研究人员声称，攻击中使用的 AcidRain 恶意软件导致 Viasat 基础设施瘫痪。

早期攻击中使用的 AcidRain

AcidRain 是一个 Linux 二进制文件，旨在擦除网络设备，包括调制解调器和路由器。研究人员认为，在 2 月下旬摧毁 Viasat 硬件的恶意软件是同一个恶意软件。

据 SentinelLabs 团队称，AcidRain 与VPNFilter 恶意软件的一个组件之间存在某些相似之处。 VPNFilter 已经存在了一段时间，FBI 提示所有路由器用户，甚至是那些在家的用户， 在 2018 年年中重新启动他们的路由器，以避免潜在的 VPNFilter 攻击。 VPNFilter 随后与名为 Fancy Bear 或 APT28 的俄罗斯国家支持的威胁参与者相关联。

根据 Viasat 本身发布的信息，2 月份导致服务下线的攻击仅集中在该公司 KA-SAT 网络的一部分，该网络由一家子公司运营和运营。

恶意软件重写路由器固件

在谈到 AcidRain 如何破坏硬件时，Viasat 表示该恶意软件会重写设备上闪存的重要部分，使受感染的设备无法与网络通信。但是，损坏不是永久性的，使用工厂固件刷新应该能够使设备恢复正常。

在这次攻击中，威胁参与者的切入点似乎是配置不当的 VPN 点。这允许黑客访问位于网络上的 KA-SAT 管理组件。

ZDNet 报道称，Viasat 证实该公司的内部数据与 SentinelLabs 团队的调查结果一致，除了一点 - SentinelLabs 认为攻击可能是基于供应链的，而 Viasat 声称情况并非如此。

AcidRain 恶意软件是自俄罗斯入侵乌克兰以来部署在乌克兰领土上的一系列破坏性恶意软件有效载荷中的最新一个。以前的有效载荷不关注网络设备，而是关注存储和数据擦除。