Rus askeri güçlerinin Ukrayna’yı işgal ettiği gün olan 24 Şubat 2022’de KA-SAT modemlerini geçici olarak devre dışı bırakan Viasat’a yönelik siber saldırının, silecek kötü amaçlı yazılımın sonucu olduğuna inanılıyor. son araştırma SentinelOne’dan.
Bulgular, ABD telekom şirketinin KA-SAT ağına yönelik çok yönlü ve kasıtlı bir siber saldırının hedefi olduğunu ve bunu bir VPN cihazında yanlış yapılandırmadan yararlanan bir saldırganın “yer tabanlı ağ saldırısına” bağladığını açıklamasıyla geldi. KA-SAT ağının güvenilir yönetim bölümüne uzaktan erişim.”
Erişim sağlandıktan sonra düşman, uydu geniş bant hizmetine ait on binlerce modeme “modemlerdeki flash bellekteki önemli verilerin üzerine yazan, modemleri ağa erişemez, ancak kalıcı olarak kullanılamaz hale getiren” “yıkıcı komutlar” verdi.
Ancak SentinelOne, 15 Mart’ta tüm olayı yeni bir ışıkla aydınlatan yeni bir kötü amaçlı yazılım parçasını ortaya çıkardığını söyledi – dublajlı sileceği teslim etmek için KA-SAT yönetim mekanizmasının bir tedarik zinciri uzlaşması. Asit yağmurumodemlere ve yönlendiricilere aktarın ve ölçeklenebilir bozulma elde edin.
Araştırmacılar Juan Andres Guerrero-Saade ve Max van Amerongen, AcidRain’in “dosya sistemini ve bilinen çeşitli depolama aygıtı dosyalarını derinlemesine silen” bir 32-bit MIPS ELF yürütülebilir dosyası olarak tasarlandığını söyledi. “Kod kök olarak çalışıyorsa, AcidRain dosya sistemindeki standart olmayan dosyaların ilk özyinelemeli üzerine yazma ve silme işlemini gerçekleştirir.”
Silme işlemi tamamlandıktan sonra, çalışmaz hale getirmek için cihaz yeniden başlatılır. Bu, AcidRain’i WhisperGate’den sonra Rus-Ukrayna savaşıyla bağlantılı olarak yılın başından bu yana ortaya çıkarılan yedinci silecek türü yapıyor. FısıltıÖldürHermeticWiper, IsaacWiper, CaddyWiper ve DoubleZero.
Silecek örneğinin daha fazla analizi, Rus Sandworm (aka Voodoo Bear) grubuna atfedilen VPNFilter adlı bir kötü amaçlı yazılım ailesini içeren saldırılarda kullanılan üçüncü aşama eklenti (“dstr”) ile “ilginç” bir kod çakışmasını da ortaya çıkardı.
Şubat 2022’nin sonlarında, İngiltere ve ABD’den istihbarat teşkilatları, yedek çerçeve Cyclops Blink olarak adlandırılan VPNFilter’ın halefi olduğunu ortaya çıkardı.
Bununla birlikte, tehdit aktörlerinin VPN’ye nasıl eriştiği hala belirsiz. Ars Technica ile paylaşılan açıklamada, Viasat onaylanmış Verileri yok eden kötü amaçlı yazılımın gerçekten de “meşru yönetim” komutları kullanılarak modemlere yerleştirildiğini, ancak devam eden bir soruşturmayı gerekçe göstererek daha fazla ayrıntıyı paylaşmaktan kaçındığını söyledi.