Viasat heeft bevestigd dat modems voor zijn KA-SAT-dienst voor satellietinternet in februari zijn getroffen door AcidRain. Dat is een pas ontdekte wipermalware die is ontworpen om bestanden te verwijderen.
De aanval met AcidRain is uiteengezet door onderzoekers van SentinelLabs en de bevindingen zijn later bevestigd door Viasat. Dat deed het bedrijf tegenover Bleeping Computer. AcidRain werd op 15 maart ontdekt, nadat een sample van de malware vanaf een Italiaans IP-adres geüpload werd naar VirusTotal. De AcidRain-malwaresample op VirusTotal had de naam 'ukrop'. De hypothese van SentinalLabs is dat dit voor 'Ukraine Operation' staat, maar toch zeggen de onderzoekers dat dit niet is bevestigd.
Viasat schreef eerder deze week dat zijn netwerk getroffen is via een verkeerd geconfigureerd vpn-toestel, waarna hackers toestemming kregen tot het trustmanagementsegment van het KA-SAT-netwerk van Viasat. Die toegang werd gebruikt om een 'destructieve executable' uit te voeren op de modems, met een 'legitiem beheercommando', zo stelt Viasat.
Die destructieve executable is dus AcidRain, zo schrijft SentinelLabs, die ook de werking van de wipermalware uiteenzet. De malware voert een wipe van het bestandssysteem en mogelijke aangesloten opslagapparaten uit op de modems van gebruikers. Vervolgens probeert AcidRain de bestanden op verschillende opslagapparaten te vernietigen. De malware probeert daarvoor verschillende opslagmedia te benaderen. Hierna wordt de modem opnieuw opgestart, waarna die onbruikbaar is.
De identiteit van de daders is nog niet bekend, schrijven de onderzoekers van SentinelLabs. De aanval op het Viasat-netwerk viel samen met het begin van de Russische invasie in Oekraïne, op 24 februari. De aanval werd gericht op de grondinfrastructuur van het KA-SAT-netwerk van Viasat, dat satellietinternet verleent aan Europese klanten. Sinds het begin van de oorlog zijn er meerdere aanvallen met wipermalware uitgevoerd op Oekraïne. AcidRain is daar het zevende voorbeeld van, schrijft SentinelLabs. Analisten van Amerikaanse inlichtingendiensten zouden eerder geconcludeerd hebben dat Rusland achter de aanval op Viasat zat, vertelden bronnen aan The Washington Post.
| Opslagmedia die het doelwit zijn van AcidRain (via SentinelLabs) | |
| Apparaat | Beschrijving |
| /dev/sd* | Een generiek blockdevice |
| /dev/mtdblock* | Flashgeheugen (veelvoorkomend in routers en iot-apparaten) |
| /dev/block/mtdblock* | Een andere mogelijke manier om flashgeheugen te benaderen |
| /dev/mtd* | Het apparaatbestand voor flashgeheugen dat fileops ondersteunt |
| /dev/mmcblk* | Voor SD- of MMC-kaarten |
| /dev/block/mmcblk* | Een andere manier om AD- of MMC-kaarten te benaderen |
| /dev/loop* | Virtuele blockdevices |
:strip_icc():strip_exif()/i/2004989726.jpeg?f=fpa_thumb)
:strip_exif()/i/2005149228.jpeg?f=fpa)
/i/2001841111.png?f=fpa)
/i/2004611194.png?f=fpa)
:strip_exif()/i/2004961104.jpeg?f=fpa)
/i/2004857272.webp?f=fpa)
:strip_exif()/i/2004648158.jpeg?f=fpa)
:strip_exif()/i/2004648164.jpeg?f=fpa)
/i/2004777862.png?f=fpa)
:strip_exif()/u/26026/snowrabb.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
:strip_exif()/u/677/crop5e62ccc026e5a_cropped.gif?f=community){kind=small}