早些时候,美国卫星通信服务提供商 Viasat 遭受了一轮网络攻击,导致中东欧服务中断。SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 根据最新发布的安全研究报告,这个锅应该扣在一个叫做酸雨的锅里(AcidRain)的新型擦除(wiper)恶意软件头。
Surfbeam2 调制解调器攻击前后并排比较(via SentinelLabs)
鉴于此事接近俄乌冲突爆发的时间点,早期调查认为俄罗斯有很大的嫌疑。此外,这一轮攻击还切断了德国约5800 台风发电机的远程访问。起初,他们认为自己被分布式拒绝服务(DDoS)攻击。
不过参考 SentinelLabs 最新发布的安全研究报告,作为一种新的消除恶意软件,AcidRain 旨在远程清除易受攻击的调制解调器和路由器。
设备擦除代码:写入 ox40000(左)或使用 MEM*IOCTLS(右)
研究人员从意大利用户 3 月 15 日ukrop 上传到 VirusTotal 样本中发现了端倪,并推测用户名为乌克兰行动(Ukraine operation)的缩写。
至于擦拭器的功能,研究人员说它相当通用。因为在试图破坏数据之前,它会深入删除文件系统和各种已知存储设备上的文件,然后重启设备并将其变成砖。
试着重启设备的代码
SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 表示:
AcidRain 的功能相对简单,暴力尝试。这意味着攻击者要么不熟悉目标固件的细节,要么希望工具保持通用性和可重复使用。
对比部分标题字符串
虽然攻击者的确切身份仍然是个谜,但 SentinelLabs 观察到 AcidRain 和 VPNFilter 恶意软件之间的相似之处 后者感染了世界上数千个家庭和小企业的路由器等网络设备。
2018 年,FBI 将 VPNFilter 操作归咎于有俄罗斯背景的Fancy Bear”(又名 APT28)黑客组织。
左为 AcidRain,右为 VPNFilter 。
最后,研究人员推测 AcidRain 是俄乌冲突爆发以来的第七款恶意软件,但背后的关系仍需进一步调查。根据周三发布的第一份关于 2 网络攻击的事件响应报告:
- 未命名的攻击者使用虚拟专用网络设备,远程访问 KA-SAT 网络的‘可信访问’部分。
- 然后利用相关访问权限,执行针对大量家庭调制解调器的有针对性的管理命令。
- 由于 Modem 不能访问网络,但也不是永久性的。