Při kybernetickém útoku, jehož cílem bylo 24. února ochromit satelitní širokopásmovou službu KA-SAT, byl nasazen nově objevený malware, který dokáže mazat routery a modemy. Následný výpadek postihl tisíce lidí na Ukrajině a další desítky tisíc v Evropě, informuje Bleeping Computer.
Malware, který bezpečnostní experti ze společnosti SentinelOne nazvali AcidRain, je navržen tak, aby v zařízení vymazal každý soubor, který najde, což usnadňuje jeho opětovné nasazení při budoucích útocích. Toto chování může buď naznačovat neznalost souborového systému a firmwaru cílových zařízení ze strany útočníků, nebo jejich záměr vyvinout nástroj pro opakované použití.
Malware AcidRain
AcidRain byl poprvé zaznamenán 15. března po nahrání na platformu pro analýzu malwaru VirusTotal z IP adresy v Itálii jako 32bitová binárka s názvem souboru „ukrop“. Následná analýza ukázala, že po spuštění prochází celým souborovým systémem napadeného routeru nebo modemu, vymaže paměť flash a případně připojené karty SD/MMC.
„Binární soubor provede hloubkové vymazání souborového systému a různých známých souborů v úložišti. Pokud je kód spuštěn s právy roota, provede nejprve rekurzivní přepsání a odstranění nestandardních souborů v souborovém systému,“ vysvětlili odborníci na bezpečnost Juan Andres Guerrero-Saade a Max van Amerongen. Po dokončení mazání dat malware restartuje zařízení, čímž jej učiní nepoužitelným.
Na základě názvu binárního souboru nahraného na server VirusTotal, který by mohl být zkratkou slov „Ukraine Operation“, byli experti přesvědčeni, že tento malware mohl být vyvinut výslovně pro operaci namířenou proti Ukrajině a pravděpodobně byl použit k vymazání modemů v rámci kybernetického útoku na KA-SAT.
„Program mazající soubory určený pro tento druh zařízení by přepsal klíčová data ve flash paměti modemu, čímž by jej znefunkčnil a bylo by nutné ho přeflashovat nebo vyměnit,“ vyslovili hypotézu odborníci ze SentinelOne.
Viasat přiznává útok „kyselým deštěm“
To je na první pohled v přímém rozporu s původní zprávou společnosti Viasat, která ohledně incidentu týkajícího se KA-SAT uvedla, že „nebyly nalezeny žádné důkazy o jakémkoli narušení nebo manipulaci se softwarem nebo obrazy firmwaru modemu Viasat a žádné důkazy o jakémkoli zásahu do dodavatelského řetězce“.
Firma Viasat však následně potvrdila hypotézu expertů ze SentinelOne a uvedla, že malware ničící data byl na modemy nasazen pomocí „legitimních příkazů pro správu“. „Analýza společnosti SentinelLabs týkající se binárního souboru ukrop je v souladu se skutečnostmi uvedenými v naší zprávě – konkrétně SentinelLabs identifikuje destruktivní spustitelný soubor, který byl na modemech spuštěn pomocí legitimního příkazu pro správu, jak jsme popsali dříve,“ uvedl mluvčí Viasatu. „Očekáváme, že po skončení vyšetřování budeme moci poskytnout další informace.“
Použití malwaru AcidRain k vymazání modemů potvrdil na sociální síti Twitter také odborník na bezpečnost Ruben Santamarta, který vypsal obsah flash paměti modemu SATCOM poškozeného při útoku na KA-SAT. Jak uvádí SentinelOne, destruktivní vzorec zaznamenaný Santamartou skutečně odpovídá výstupu metody přepisování a mazání paměti škodlivou aplikací AcidRain.
