Ένα ζευγάρι ερευνητών ασφαλείας στο SentinelLabs αναχαίτισε ένα κομμάτι καταστροφικού κακόβουλου λογισμικού Wiper που χτυπούσε δρομολογητές και μόντεμ και βρήκαν ψηφιακά breadcrumb που υποδηλώνουν σύνδεση με το καταστροφικό hack της Viasat που κατέστρεψε τις ανεμογεννήτριες στη Γερμανία.
Οι κυνηγοί κακόβουλου λογισμικού του SentinelLabs, Juan Andres Guerrero-Saade και Max van Amerongen, πιστεύουν ότι ο νεότερος Wiper — που ονομάζεται AcidRain — αποτελεί μέρος μιας μεγαλύτερης επίθεσης στην αλυσίδα εφοδιασμού με στόχο να καταστραφεί η δορυφορική υπηρεσία διαδικτύου της Viasat.
Σε επίσημη δήλωση, η Viasat επιβεβαίωσε ότι μια διπλή επίθεση εναντίον του δικτύου της KA-SAT ολοκληρώθηκε με εντολές κακόβουλου λογισμικού που καθιστούν ανενεργά δεκάδες χιλιάδες μόντεμ σε όλη την Ευρώπη αντικαθιστώντας βασικά δεδομένα στην εσωτερική τους μνήμη.
Η επίθεση στο Viasat, που έλαβε χώρα τη στιγμή που η Ρωσία άρχιζε την εισβολή της στην Ουκρανία, επηρέασε επίσης τις υπηρεσίες μόντεμ στη Γαλλία και την Ιταλία και ακόμη και παρέλυσε τις ανεμογεννήτριες στη Γερμανία, σύμφωνα με δημοσιευμένες αναφορές.
Τώρα, οι κυνηγοί απειλών του SentinelLab μοιράζονται σημειώσεις σχετικά με την ανακάλυψη του νεότερου Wiper και τεκμηριώνουν επικαλύψεις κώδικα και άλλα στοιχεία που συνδέουν το κακόβουλο λογισμικό με την κατάργηση του δορυφορικού δικτύου.
«[Πιστεύουμε] ότι ο παράγοντας απειλής χρησιμοποίησε τον μηχανισμό διαχείρισης KA-SAT σε μια επίθεση εφοδιαστικής αλυσίδας για να σπρώξει έναν Wiper σχεδιασμένο για μόντεμ και δρομολογητές», έγραψαν οι Guerrero-Saade και Van Amerongen. “Ένας Wiper για αυτό το είδος συσκευής θα αντικαθιστούσε τα βασικά δεδομένα στη μνήμη flash του μόντεμ, καθιστώντας το μη λειτουργικό και χρειάζεται ανανέωση ή αντικατάσταση.”
Οι ερευνητές περιέγραψαν τη δημόσια δήλωση της Viacom ως «ελλιπή» και είπαν ότι η δική της τεχνική ανάλυση βρήκε ομοιότητες με τις συνεχιζόμενες επιθέσεις κακόβουλου λογισμικού VPNFilter που αποδίδονται από το FBI των ΗΠΑ σε μια γνωστή ομάδα APT της ρωσικής κυβέρνησης.
“Αξιολογούμε με μέτρια εμπιστοσύνη ότι υπάρχουν αναπτυξιακές ομοιότητες μεταξύ του AcidRain και μιας καταστροφικής προσθήκης VPNFilter σταδίου 3. Το 2018, το FBI και το Υπουργείο Δικαιοσύνης απέδωσαν την εκστρατεία VPNFilter στη ρωσική κυβέρνηση”, δήλωσαν οι ερευνητές.
Σημειώνοντας ότι το AcidRain είναι το 7ο κακόβουλο λογισμικό Wiper που σχετίζεται με τη ρωσική εισβολή στην Ουκρανία, η ομάδα SentinelLabs είπε ότι το ύποπτο αρχείο ανέβηκε στην υπηρεσία πολλαπλών σαρωτών VirusTotal από την Ιταλία με το όνομα «ukrop» και σχεδιάστηκε για να είναι καταστροφικό.
«Η λειτουργικότητα του AcidRain είναι σχετικά απλή και χρειάζεται μια προσπάθεια ωμής βίας που πιθανώς σημαίνει ότι οι επιτιθέμενοι είτε δεν ήταν εξοικειωμένοι με τα στοιχεία του υλικολογισμικού στόχου είτε ήθελαν το εργαλείο να παραμείνει γενικό και επαναχρησιμοποιήσιμο», ανέφερε η έκθεση.
«Το δυαδικό εκτελεί μια εις βάθος διαγραφή του συστήματος αρχείων και διαφόρων γνωστών αρχείων συσκευής αποθήκευσης. Εάν ο κώδικας εκτελείται ως root, το AcidRain εκτελεί μια αρχική αναδρομική αντικατάσταση και διαγραφή μη τυπικών αρχείων στο σύστημα αρχείων.” πρόσθεσε.
