Viasatへの攻撃に関与するAcidRainマルウェア
Viasatは、2月に同社のサービスを停止させたサイバー攻撃の原因となったマルウェアを特定したことを確認しました。使用されているマルウェアは暫定的にAcidRainという名前で、破壊的な機能を備えています。
米国に本社を置く世界的な通信プロバイダーであるViasatは、2022年2月下旬にウクライナと他のいくつかのヨーロッパ地域でサービス停止に見舞われました。現在、SentinelLabsの研究者は、Viasatインフラストラクチャをダウンさせた攻撃で使用されたのはAcidRainマルウェアであると主張しています。
以前の攻撃で使用されたAcidRain
AcidRainは、モデムやルーターなどのネットワーク機器をワイプするように設計されたLinuxバイナリです。研究者たちは、2月下旬にViasatのハードウェアを停止させたのと同じマルウェアであると信じています。
SentinelLabsチームによると、AcidRainとVPNFilterマルウェアのコンポーネントの間には特定の類似点があります。 VPNFilterはしばらく前から存在しており、FBIは、潜在的なVPNFilter攻撃を回避するために、すべてのルーターユーザー(自宅にいるユーザーも含む)にルーターを再起動するように促しています。その後、VPNFilterは、ファンシーベアまたはAPT28の名前で呼ばれるロシアの国家支援の脅威アクターに関連付けられました。
Viasat自身が発表した情報によると、2月にサービスをオフラインにした攻撃は、子会社によって運営および運営されている同社のKA-SATネットワークの一部にのみ集中していました。
マルウェアがルーターのファームウェアを書き換える
AcidRainがハードウェアをノックアウトする方法に関して、Viasatは、マルウェアがデバイスのフラッシュメモリの重要な部分を書き換え、感染したデバイスがネットワークと通信できなくなると述べました。ただし、損傷は永続的なものではなく、工場出荷時のファームウェアでフラッシュすると、ユニットを正常に戻すことができるはずです。
この攻撃の脅威アクターのエントリポイントは、VPNポイントの構成が不十分だったようです。これにより、ハッカーはネットワーク上にあるKA-SAT管理コンポーネントにアクセスできるようになりました。
ZDNetは、Viasatが、会社の内部データがSentinelLabsのチームの調査結果と一致していることを確認したと報告しました。ただし、SentinelLabsは、攻撃がサプライチェーンベースであった可能性があると考えていますが、Viasatはそうではないと主張しています。
AcidRainマルウェアは、ロシアのウクライナ侵攻が始まって以来、ウクライナの領土に配備された一連の破壊的なマルウェアペイロードの最新のものです。以前のペイロードは、ネットワーク機器ではなく、ストレージとデータの消去に重点を置いていました。