Se cree que el ciberataque dirigido a Viasat que desconectó temporalmente los módems KA-SAT el 24 de febrero de 2022, el mismo día que las fuerzas militares rusas invadieron Ucrania, fue consecuencia de un malware de limpieza, según el últimas investigaciones de SentinelOne.
Los hallazgos se producen cuando la compañía de telecomunicaciones de EE. UU. reveló que fue el objetivo de un ataque cibernético multifacético y deliberado contra su red KA-SAT, vinculándolo a una «intrusión en la red basada en tierra por parte de un atacante que explota una configuración incorrecta en un dispositivo VPN para obtener acceso remoto al segmento de gestión de confianza de la red KA-SAT».
Al obtener acceso, el adversario emitió «comandos destructivos» en decenas de miles de módems pertenecientes al servicio de banda ancha satelital que «sobrescribieron datos clave en la memoria flash de los módems, lo que hizo que los módems no pudieran acceder a la red, pero no permanentemente inutilizables».
Pero SentinelOne dijo que descubrió una nueva pieza de malware el 15 de marzo que proyecta todo el incidente bajo una nueva luz: un compromiso de la cadena de suministro del mecanismo de gestión KA-SAT para entregar el limpiaparabrisas, denominado Lluvia ácidaa los módems y enrutadores y lograr una interrupción escalable.
AcidRain está diseñado como un ejecutable MIPS ELF de 32 bits que «realiza un borrado en profundidad del sistema de archivos y varios archivos de dispositivos de almacenamiento conocidos», dijeron los investigadores Juan Andres Guerrero-Saade y Max van Amerongen. «Si el código se ejecuta como raíz, AcidRain realiza una sobrescritura recursiva inicial y elimina los archivos no estándar en el sistema de archivos».
Una vez que se completa el proceso de limpieza, el dispositivo se reinicia para dejarlo inoperable. Esto convierte a AcidRain en la séptima cepa de limpiaparabrisas descubierta desde principios de año en relación con la guerra ruso-ucraniana después de WhisperGate, SusurroMatarHermeticWiper, IsaacWiper, CaddyWiper y DoubleZero.
Un análisis más detallado de la muestra del limpiador también ha descubierto una superposición de código «interesante» con un complemento de tercera etapa («dstr») utilizado en ataques que involucran una familia de malware llamada VPNFilter, que se ha atribuido al grupo Russian Sandworm (también conocido como Voodoo Bear).
A fines de febrero de 2022, las agencias de inteligencia del Reino Unido y los EE. UU. revelaron un sucesor de VPNFilter, llamando al marco de reemplazo Cyclops Blink.
Dicho esto, aún no está claro cómo los actores de amenazas obtuvieron acceso a la VPN. En una declaración compartida con Ars Technica, Viasat confirmado que el malware de destrucción de datos se implementó en módems utilizando comandos de «gestión legítima», pero se abstuvo de compartir más detalles citando una investigación en curso.