早些時候,美國衛星通信服務提供商 Viasat 遭受了一輪網絡攻擊,結果導致中東歐地區的服務出現了中斷。而由 SentinelLabs 研究人員 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新發布的安全研究報告可知,這口鍋應該扣在一款名為“酸雨”(AcidRain)的新型擦除(wiper)惡意軟件頭上。
Surfbeam2 調製解調器攻擊前後的並排比較(via SentinelLabs)
鑒於此事與俄烏衝突爆發的時間點接近,早期調查認為俄羅斯方面有很大的嫌疑。此外這輪攻擊還斷開了德國約 5800 颱風力發電機的遠程訪問,起初還以為它們遭到了分佈式拒絕服務(DDoS)攻擊。
不過參考 SentinelLabs 最新發布的安全研究報告,作為一款新冒出的擦除惡意軟件,AcidRain 旨在遠程清除易受攻擊的調製解調器和路由器。
設備擦除代碼:寫入 ox40000(左)或使用 MEM*IOCTLS(右)
可知 3 月 15 日那天,研究人員從意大利用戶 ukrop 上傳到 VirusTotal 的樣本中發現了端倪,並推測該用戶名為“烏克蘭行動”(Ukraine operation)的縮寫。
至於這款擦除器的功能,研究人員稱其相當“通用”。因為在嘗試破壞數據之前,它會對文件系統和各種已知存儲設備上的文件進行深度抹除,然後讓設備重啟變磚。
嘗試重啟設備的代碼
SentinelLabs 研究人員 Juan Andres Guerrero-Saade 和 Max van Amerongen 表示:
AcidRain 的功能相對簡單,並且會進行暴力嘗試。意味着攻擊者要麼不熟悉目標固件的細節,要麼希望該工具保持通用性和可重複使用。
部分標題字符串對比
儘管攻擊者的確切身份仍是個謎,但 SentinelLabs 觀察到了 AcidRain 和 VPNFilter 惡意軟件之間的相似之處 —— 後者感染了全球數千個家庭和小型企業的路由器等網絡設備。
2018 年,FBI 將 VPNFilter 操作歸咎於有俄羅斯背景的“Fancy Bear”(又名 APT28)黑客組織。
左為 AcidRain,右為 VPNFilter 。
最後,研究人員推測 AcidRain 是自俄烏衝突爆發以來的第七款擦除類惡意軟件,但仍需進一步調查背後的關係。由周三發表的有關 2 月份網絡攻擊的第一份事件響應報告可知:
未具名的攻擊者利用了錯誤配置的虛擬專用網設備,遠程訪問了 KA-SAT 網絡的‘可信訪問’部分。
接着利用相關訪問權限,執行了同時面向大量家庭調製解調器的有針對性的管理命令。
這些破壞性命令覆蓋了調製解調器閃存中的關鍵數據,導致 Modem 無法訪問網絡、但也並非永久無法使用。
相關文章:
美國情報機構已着手調查俄烏衝突期間針對Viasat的網絡攻擊
CISA與FBI在Viasat網絡攻擊后發出警告 美國衛星通訊亦面臨安全威脅