Ένα data wiper malware που ανακαλύφθηκε πρόσφατα – το AcidRain-, το οποίο κάνει wipe routers και modems, έχει αναπτυχθεί στην κυβερνοεπίθεση που στόχευσε τη δορυφορική ευρυζωνική υπηρεσία KA-SAT της Viasat για να κάνει wipe τα μόντεμ SATCOM στις 24 Φεβρουαρίου, επηρεάζοντας χιλιάδες στην Ουκρανία και δεκάδες χιλιάδες ακόμη σε όλη την Ευρώπη.
Δείτε επίσης: Palo Alto Networks bug εξέθεσε tickets (αιτήματα υποστήριξης) πελατών
Το malware, που ονομάστηκε AcidRain από ερευνητές στο SentinelOne, έχει σχεδιαστεί για να κάνει brute-force τα ονόματα αρχείων συσκευών και να κάνει wipe κάθε αρχείο που μπορεί να βρει, καθιστώντας εύκολη την αναδιάταξη σε μελλοντικές επιθέσεις.
Η SentinelOne λέει ότι αυτό μπορεί να υποδηλώνει την έλλειψη εξοικείωσης των εισβολέων με το σύστημα αρχείων και το firmware των στοχευμένων συσκευών ή την πρόθεσή τους να αναπτύξουν ένα επαναχρησιμοποιήσιμο εργαλείο.
Το AcidRain εντοπίστηκε για πρώτη φορά στις 15 Μαρτίου μετά τη μεταφόρτωσή του στην πλατφόρμα ανάλυσης κακόβουλου λογισμικού VirusTotal από μια διεύθυνση IP στην Ιταλία ως binary MIPS ELF 32-bit χρησιμοποιώντας το όνομα αρχείου “ukrop”.
Μόλις αναπτυχθεί, περνά από ολόκληρο το σύστημα αρχείων του παραβιασμένου router ή του μόντεμ. Κάνει wipe και τη μνήμη flash, τις κάρτες SD/MMC και τυχόν εικονικές block συσκευές που μπορεί να βρει, χρησιμοποιώντας όλα τα πιθανά αναγνωριστικά συσκευών.
Δείτε επίσης: BlackGuard info-stealing malware: Όσα γνωρίζουμε για τη νέα απειλή
Για να καταστρέψει δεδομένα σε παραβιασμένες συσκευές, το wiper αντικαθιστά τα περιεχόμενα του αρχείου με δεδομένα έως και 0x40000 byte ή χρησιμοποιεί κλήσεις συστήματος MEMGETINFO, MEMUNLOCK, MEMERASE και MEMWRITEOOB ελέγχου εισόδου/εξόδου (IOCTL).
Αφού ολοκληρωθούν οι διαδικασίες data wiping του AcidRain, το malware επανεκκινεί τη συσκευή, καθιστώντας την αχρησιμοποίητη.
Χρησιμοποιείται για το wipe των μόντεμ δορυφορικής επικοινωνίας στην Ουκρανία
Με βάση το όνομα του binary AcidRain που ανέβηκε στο VirusTotal, το οποίο θα μπορούσε να είναι συντομογραφία του “Ukraine Operation”, η SentinelOne είπε ότι το κακόβουλο λογισμικό μπορεί να είχε αναπτυχθεί ρητά για μια επιχείρηση κατά της Ουκρανίας και πιθανότατα να χρησιμοποιήθηκε για να σκουπίσει μόντεμ στην κυβερνοεπίθεση KA-SAT.
Αυτό έρχεται σε άμεση αντίθεση με μια αναφορά περιστατικού της Viasat σχετικά με το περιστατικό KA-SAT, λέγοντας ότι δεν βρήκε “καμία ένδειξη οποιασδήποτε παραβίασης και καμία ένδειξη παρεμβολής στην αλυσίδα εφοδιασμού”.
Ωστόσο, η Viasat επιβεβαίωσε την υπόθεση του SentinelOne, λέγοντας ότι το data destroying malware αναπτύχθηκε σε μόντεμ χρησιμοποιώντας εντολές «νόμιμης διαχείρισης».
Η Viasat αναφέρει ότι οι εισβολείς εκμεταλλεύτηκαν μια εσφαλμένη συσκευή VPN, απέκτησαν πρόσβαση στο τμήμα διαχείρισης εμπιστοσύνης του δικτύου KA-SAT, μετακινήθηκαν πλευρικά και στη συνέχεια χρησιμοποίησαν την πρόσβασή τους για να «εκτελούν νόμιμες, στοχευμένες εντολές διαχείρισης σε μεγάλο αριθμό οικιακών μόντεμ». Η Viasat συνεχίζει προσθέτοντας ότι «αυτές οι καταστροφικές εντολές αντικατέστησαν βασικά δεδομένα στη μνήμη flash στα μόντεμ, καθιστώντας τα μόντεμ ανίκανα να έχουν πρόσβαση στο δίκτυο, αλλά όχι μόνιμα άχρηστα».
Η χρήση του AcidRain για το των wipe μόντεμ επιβεβαιώθηκε και από τον ερευνητή ασφαλείας Ruben Santamarta.
Όπως λέει η SentinelOne, το καταστροφικό μοτίβο που παρατηρήθηκε από τον Santamarta ταιριάζει με το output της μεθόδου overwriting wiper του AcidRain.
Το γεγονός ότι η Viasat απέστειλε σχεδόν 30.000 μόντεμ από την επίθεση του Φεβρουαρίου του 2022 για να επαναφέρει τους πελάτες στο Διαδίκτυο και συνεχίζει για να επιταχύνει την αποκατάσταση της υπηρεσίας υποδηλώνει ότι η θεωρία επίθεσης εφοδιαστικής αλυσίδας της SentinelOne έχει λογική.
Ως δευτερεύουσα σημείωση, τα IOCTL που χρησιμοποιούνται από αυτό το malware ταιριάζουν με αυτά που χρησιμοποιούνται από το malware VPNFilter, ένα κακόβουλο εργαλείο που αποδίδεται σε Ρώσους χάκερ GRU (Fancy Bear ή Sandworm).
Δείτε επίσης: Η Zyxel διορθώνει κρίσιμο bug που επηρεάζει firewall και συσκευές VPN
Το AcidRain είναι το έβδομο data wiper malware που αναπτύχθηκε σε επιθέσεις κατά της Ουκρανίας, με έξι άλλα να έχουν χρησιμοποιηθεί για να στοχεύσουν τη χώρα από την αρχή του έτους.
Πηγή πληροφοριών: bleepingcomputer.com
