SentinelLabs：俄罗斯利用 AcidRain 擦除恶意软件攻击了 ViaSat

早些时候，美国卫星通信服务提供商 Viasat 遭受了一轮网络攻击，结果导致中东欧地区的服务出现了中断。而由 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新发布的安全研究报告可知，这口锅应该扣在一款名为“酸雨”（AcidRain）的新型擦除（wiper）恶意软件头上。

http://hackernews.cc/wp-content/uploads/2022/04/769307820b3c807-600x572.jpg

Surfbeam2 调制解调器攻击前后的并排比较（via SentinelLabs）

鉴于此事与俄乌冲突爆发的时间点接近，早期调查认为俄罗斯方面有很大的嫌疑。此外这轮攻击还断开了德国约 5800 台风力发电机的远程访问，起初还以为它们遭到了分布式拒绝服务（DDoS）攻击。

不过参考 SentinelLabs 最新发布的安全研究报告，作为一款新冒出的擦除恶意软件，AcidRain 旨在远程清除易受攻击的调制解调器和路由器。

http://hackernews.cc/wp-content/uploads/2022/04/caee2fd8241cd94-600x265.jpg

设备擦除代码：写入 ox40000（左）或使用 MEM*IOCTLS（右）

可知 3 月 15 日那天，研究人员从意大利用户 ukrop 上传到 VirusTotal 的样本中发现了端倪，并推测该用户名为“乌克兰行动”（Ukraine operation）的缩写。

至于这款擦除器的功能，研究人员称其相当“通用”。因为在尝试破坏数据之前，它会对文件系统和各种已知存储设备上的文件进行深度抹除，然后让设备重启变砖。

http://hackernews.cc/wp-content/uploads/2022/04/e41983d7ed3d84f-600x564.jpg

尝试重启设备的代码

SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 表示：

AcidRain 的功能相对简单，并且会进行暴力尝试。意味着攻击者要么不熟悉目标固件的细节，要么希望该工具保持通用性和可重复使用。

http://hackernews.cc/wp-content/uploads/2022/04/d98d9bc17a19e75-600x177.jpg

部分标题字符串对比

尽管攻击者的确切身份仍是个谜，但 SentinelLabs 观察到了 AcidRain 和 VPNFilter 恶意软件之间的相似之处 —— 后者感染了全球数千个家庭和小型企业的路由器等网络设备。

2018 年，FBI 将 VPNFilter 操作归咎于有俄罗斯背景的“Fancy Bear”（又名 APT28）黑客组织。

http://hackernews.cc/wp-content/uploads/2022/04/8dca8e6ba0005ba-600x378.jpg

左为 AcidRain，右为 VPNFilter 。

最后，研究人员推测 AcidRain 是自俄乌冲突爆发以来的第七款擦除类恶意软件，但仍需进一步调查背后的关系。由周三发表的有关 2 月份网络攻击的第一份事件响应报告可知：

未具名的攻击者利用了错误配置的虚拟专用网设备，远程访问了 KA-SAT 网络的‘可信访问’部分。

接着利用相关访问权限，执行了同时面向大量家庭调制解调器的有针对性的管理命令。

这些破坏性命令覆盖了调制解调器闪存中的关键数据，导致 Modem 无法访问网络、但也并非永久无法使用。

 

转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1253557.htm
封面来源于网络，如有侵权请联系删除