早些时候,总部位于美国的卫星通信服务提供商Viasat遭到一轮网络攻击,中断了中欧和东欧的服务。根据SentinelLabs研究人员JuanAndresGuerrero-Saade和MaxvanAmerongen发布的最新安全研究报告,这个锅应该归咎于一种名为“酸雨”的新型擦??除(wiper)恶意软件。攻击前后Surfbeam2调制解调器的并排比较(来自SentinelLabs)鉴于事件与俄乌冲突爆发的时间很近,早期调查表明俄罗斯方面高度怀疑。这次攻击还断开了对德国约5,800台风力涡轮机的远程访问,这些涡轮机最初被认为受到了分布式拒绝服务(DDoS)攻击。然而,参考SentinelLabs发布的最新安全研究报告,作为一种新的擦除恶意软件,AcidRain旨在远程擦除易受攻击的调制解调器和路由器。DeviceWipeCode:写入ox40000(左)或使用MEM*IOCTLS(右)显示,3月15日,研究人员在意大利用户ukrop上传至VirusTotal的样本中发现了线索,推测该用户名为“UkrainianAction”(乌克兰操作)的缩写。至于这款橡皮擦的功能,研究人员形容它相当“通用”。因为在尝试销毁数据之前,它会对各种已知存储设备上的文件系统和文件进行深度擦除,然后重启设备使其变砖。尝试重启设备的代码,SentinelLabs研究人员JuanAndresGuerrero-Saade和MaxvanAmerongen表示:AcidRain的功能相对简单,它会进行暴力尝试。这意味着攻击者要么不熟悉目标固件的详细信息,要么希望该工具保持通用性和可重用性。部分标头字符串比较虽然攻击者的确切身份仍然是个谜,但SentinelLabs已经观察到AcidRain和VPNFilter恶意软件之间的相似之处——它们感染了全球成千上万家庭和小型企业的路由器等网络设备。2018年,FBI将VPNFilter行动归咎于俄罗斯支持的“FancyBear”(又名APT28)黑客组织。左边是AcidRain,右边是VPNFilter。最后,研究人员推测AcidRain是自俄乌冲突爆发以来的第七款擦除器恶意软件,但需要进一步调查以调查其背后的关系。根据周三发布的2月网络攻击的第一份事件响应报告,未具名的攻击者利用配置错误的虚拟专用网络设备远程访问KA-SAT网络的“可信访问”部分。使用相关的访问权限,然后同时对大量家用调制解调器执行有针对性的管理命令。这些破坏性命令覆盖了调制解调器闪存中的关键数据,使调制解调器无法访问网络,但不是永久性的。
