SentinelOne şirketi Viasat ağının hacklenmesini açıklamak için yeni unsurlar geliştiriyor. siber güvenlik şirketi dün bir kötü amaçlı yazılımın analizini yayınladı, saldırganlar tarafından kullanılan kötü amaçlı yazılım olabilecek AcidRain olarak adlandırıldı. Bu kötü amaçlı yazılımın örneği, 15 Mart’ta bir İtalyan kullanıcı tarafından Virustotal örnek paylaşım platformuna “Ukrop” adı altında yüklendi.
SentinelOne analistlerine göre bu kötü amaçlı yazılım, öncelikle yönlendiricilerde kullanılan bir işlemci türü olan MIPS mimarisinde çalışan cihazlara saldırmak için tasarlandı. Bu kötü amaçlı yazılımın temel amacı, virüslü makinedeki verileri silmektir. Şirket Çarşamba günü, bu saldırı hakkında, SentinelOne tarafından altı çizilen unsurlara bağlı kalan bir geri bildirim yayınladı. Viasat tarafından yapılan açıklamalar açıkça kötü amaçlı yazılımların kullanımından bahsetmiyor, sadece modem yönetim altyapısının kontrolünü ele geçiren saldırganlar tarafından “meşru komutların” kötüye kullanılmasından bahsediyor.
SentinelOne uzmanlarının gözünde eksik görünen bir açıklama: “Hâlâ meşru komutların modemler üzerinde nasıl bu kadar yıkıcı bir etkisi olabileceğini bilmiyoruz. Bu ölçeğin bozulması, büyük olasılıkla bir güncelleme, komut dosyası veya yürütülebilir dosya yayınlayarak sağlanır. Saldırıyı takip eden ilk saatlerde, Viasat’ın etkilenen kullanıcılara modemlerini güncellememelerini açıkça tavsiye etmesiyle, modemlerin kötü niyetli bir şekilde güncellendiği tezi de gündeme getirildi.
İpucu Paketi
Araştırmacılar, kötü amaçlı yazılımın hedefin belleğindeki verileri silmek için kullandığı yöntemlerden birinin, 24 Şubat saldırısından etkilenen modemlere bakabilen araştırmacıların gözlemlediğine benzer bir sonuç verdiğini belirtiyor. Bu kötü amaçlı yazılımın Viasat modemlerine yönelik saldırıda kullanılmış olabileceğine inanmalarına neden olan bir benzerlik. Şirkete göre, AcidRain, bu tür bir görev için kesilmiş kötü amaçlı yazılımın tanımına mükemmel bir şekilde karşılık gelir.
Araştırmacılar tarafından iletişime geçilen Viasat, “SentinelLabs raporunun ukrop ikili dosyasına ilişkin analizi, raporumuzun gerçekleriyle tutarlıdır – özellikle, SentinelLabs, Viasat’ın daha önce açıklandığı gibi meşru bir yönetim komutu kullanarak modemlerde çalıştırılan yıkıcı yürütülebilir dosyayı tanımlar. »
Araştırmacılar, SentinelOne raporunun diğer ilginç noktalarının yanı sıra, AcidRain yazılımı ile VPNFilter olarak bilinen başka bir kötü amaçlı yazılım arasındaki bazı benzerliklere dikkat çekiyor. Araştırmacılar temkinli olmaya devam ediyor, ancak AcidRain’in belirli özelliklerinin, virüslü cihazların hafızasını silmeyi amaçlayan işlevleri gerçekleştirmeyi amaçlayan VPNFilter sürüm 3 modüllerinden birine benzer olduğuna dikkat çekiyor. VPNFilter’dan bahsetmek önemsiz değil: bu yazılım özellikle 2018’de Ukrayna’daki bir su arıtma tesisini sabote etmeyi amaçlayan bir bilgisayar saldırısında yer aldı.
Bilgisayar güvenliği topluluğu tarafından “silecekler” olarak adlandırılan veri imha kötü amaçlı yazılımları, Ukrayna’daki çatışmanın kenarlarında tespit edilen saldırılarda tercih edilen silahlardan biri olmuştur. Microsoft ve Eset, bu nedenle, yılın başından bu yana Ukrayna hedeflerinde tanımlanan bu tür birkaç kötü amaçlı yazılımı analiz etti.