Theo nghiên cứu mới nhất từ SentinelOne, cuộc tấn công mạng nhằm vào Viasat đã tạm thời đánh sập modem KA-SAT vào ngày 24 tháng 2 năm 2022, cùng ngày quân đội Nga xâm lược Ukraine, được cho là hậu quả của phần mềm độc hại gạt nước, theo nghiên cứu mới nhất từ SentinelOne.
Phát hiện này được đưa ra khi công ty viễn thông Hoa Kỳ tiết lộ rằng họ là mục tiêu của một cuộc tấn công mạng “nhiều mặt và có chủ ý” nhằm vào mạng KA-SAT của họ, liên kết nó với một “cuộc xâm nhập mạng trên mặt đất do kẻ tấn công khai thác cấu hình sai trong một thiết bị VPN để đạt được. truy cập từ xa vào phân đoạn quản lý đáng tin cậy của mạng KA-SAT. “
Khi giành được quyền truy cập, kẻ thù đã ban hành “lệnh hủy diệt” đối với hàng chục nghìn modem thuộc dịch vụ băng thông rộng vệ tinh “đã ghi đè dữ liệu quan trọng trong bộ nhớ flash trên modem, khiến modem không thể truy cập mạng, nhưng vĩnh viễn không sử dụng được.”
Nhưng SentinelOne cho biết họ đã phát hiện ra một phần mềm độc hại mới vào ngày 15 tháng 3. Mưa axitđến modem và bộ định tuyến và đạt được sự gián đoạn có thể mở rộng.
Các nhà nghiên cứu Juan Andres Guerrero-Saade và Max van Amerongen cho biết AcidRain được tạo ra như một tệp thực thi MIPS ELF 32-bit “thực hiện xóa chuyên sâu hệ thống tệp và nhiều tệp thiết bị lưu trữ đã biết”. “Nếu mã đang chạy dưới dạng root, AcidRain thực hiện ghi đè đệ quy ban đầu và xóa các tệp không chuẩn trong hệ thống tệp.”
Sau khi quá trình xóa hoàn tất, thiết bị được khởi động lại để khiến thiết bị không thể hoạt động được. Điều này làm cho AcidRain trở thành chủng loại cần gạt nước thứ bảy được phát hiện kể từ đầu năm liên quan đến cuộc chiến Nga-Ukraine sau WhisperGate, WhisperKill, HermeticWiper, IsaacWiper, CaddyWiper và DoubleZero.
Phân tích sâu hơn về mẫu gạt mưa cũng đã phát hiện ra một mã trùng lặp “thú vị” với một plugin giai đoạn thứ ba (“dstr”) được sử dụng trong các cuộc tấn công liên quan đến một họ phần mềm độc hại có tên VPNFilter, được cho là do nhóm Russian Sandworm (hay còn gọi là Gấu Voodoo).
Vào cuối tháng 2 năm 2022, các cơ quan tình báo từ Anh và Mỹ đã tiết lộ người kế nhiệm VPNFilter, gọi là khuôn khổ thay thế Cyclops Blink.
Điều đó đã nói, vẫn chưa rõ bằng cách nào mà các tác nhân đe dọa có được quyền truy cập vào VPN. Trong một tuyên bố được chia sẻ với Ars Technica, Viasat xác nhận rằng phần mềm độc hại phá hủy dữ liệu thực sự đã được triển khai trên các modem bằng cách sử dụng lệnh “quản lý hợp pháp” nhưng đã hạn chế chia sẻ thêm thông tin chi tiết do một cuộc điều tra đang diễn ra.
.
