SentinelLabs:俄罗斯利用AcidRain擦除恶意软件攻击了ViaSat

安全 网站安全
参考 SentinelLabs 最新发布的安全研究报告,作为一款新冒出的擦除恶意软件,AcidRain 旨在远程清除易受攻击的调制解调器和路由器。

早些时候,美国卫星通信服务提供商 Viasat 遭受了一轮网络攻击,结果导致中东欧地区的服务出现了中断。而由 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新发布的安全研究报告可知,这口锅应该扣在一款名为“酸雨”(AcidRain)的新型擦除(wiper)恶意软件头上。

Surfbeam2 调制解调器攻击前后的并排比较(via SentinelLabs)

鉴于此事与俄乌冲突爆发的时间点接近,早期调查认为俄罗斯方面有很大的嫌疑。此外这轮攻击还断开了德国约 5800 台风力发电机的远程访问,起初还以为它们遭到了分布式拒绝服务(DDoS)攻击。

不过参考 SentinelLabs 最新发布的安全研究报告,作为一款新冒出的擦除恶意软件,AcidRain 旨在远程清除易受攻击的调制解调器和路由器。

设备擦除代码:写入 ox40000(左)或使用 MEM*IOCTLS(右)

可知 3 月 15 日那天,研究人员从意大利用户 ukrop 上传到 VirusTotal 的样本中发现了端倪,并推测该用户名为“乌克兰行动”(Ukraine operation)的缩写。

至于这款擦除器的功能,研究人员称其相当“通用”。因为在尝试破坏数据之前,它会对文件系统和各种已知存储设备上的文件进行深度抹除,然后让设备重启变砖。

尝试重启设备的代码

SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 表示:

AcidRain 的功能相对简单,并且会进行暴力尝试。意味着攻击者要么不熟悉目标固件的细节,要么希望该工具保持通用性和可重复使用。

部分标题字符串对比

尽管攻击者的确切身份仍是个谜,但 SentinelLabs 观察到了 AcidRain 和 VPNFilter 恶意软件之间的相似之处 —— 后者感染了全球数千个家庭和小型企业的路由器等网络设备。

2018 年,FBI 将 VPNFilter 操作归咎于有俄罗斯背景的“Fancy Bear”(又名 APT28)黑客组织。

左为 AcidRain,右为 VPNFilter 。

最后,研究人员推测 AcidRain 是自俄乌冲突爆发以来的第七款擦除类恶意软件,但仍需进一步调查背后的关系。由周三发表的有关 2 月份网络攻击的第一份事件响应报告可知:

  • 未具名的攻击者利用了错误配置的虚拟专用网设备,远程访问了 KA-SAT 网络的‘可信访问’部分。
  • 接着利用相关访问权限,执行了同时面向大量家庭调制解调器的有针对性的管理命令。
  • 这些破坏性命令覆盖了调制解调器闪存中的关键数据,导致 Modem 无法访问网络、但也并非永久无法使用。
责任编辑:未丽燕 来源: cnBeta.COM
相关推荐

2022-04-10 23:48:32

勒索软件安全俄罗斯

2010-08-19 12:00:27

2020-10-30 12:21:26

黑客恶意软件网络攻击

2021-07-09 05:20:14

暴力破解网络攻击Kubernetes集

2022-05-05 09:04:33

恶意软件黑客

2022-09-22 11:16:00

恶意软件Sandworm

2023-05-11 19:21:10

2014-07-17 15:51:07

2024-04-01 13:22:43

2022-05-24 16:58:31

DDoS安全黑客

2009-08-10 15:52:40

2011-03-11 17:41:10

2021-05-12 15:54:01

攻击黑客勒索软件

2022-04-01 15:39:36

黑客数据泄露网络攻击

2024-10-09 15:40:54

2021-09-07 12:20:49

恶意软件TricBot网络犯罪

2021-07-08 10:33:25

勒索软件攻击数据泄露

2012-07-26 09:36:32

2021-04-20 12:36:33

攻击漏洞黑客

2022-03-01 09:03:18

黑客网络攻击
点赞
收藏

51CTO技术栈公众号