上个月大规模的Viasat卫星网络中断已经连接到恶意软件能够清除数据从调制解调器和路由器。
网络安全公司SentinelOne说(在新窗口中打开)它发现了一个可能在2月24日Viasat黑客攻击中使用的恶意软件样本,该黑客攻击中断了互联网服务。该恶意软件名为AcidRain,是一个Unix可执行程序,旨在攻击采用MIPS架构的设备。
在一个酸雨样本被发现后,哨兵一号发现了这个恶意软件上传(在新窗口中打开)向恶意软件检测服务公司VirusTotal发送邮件。同样的样本来自意大利,Viasat运营商SkyLogic也在意大利管理受影响的网络。此外,恶意软件样本被贴上了“ukrop”的标签,这可能是对乌克兰行动的指涉。
SentinelOne还检查了AcidRain,发现它可以在受感染的调制解调器上执行“深度擦除文件系统和各种已知存储设备文件”。然后,恶意软件将触发重启,使设备无法操作。
保安公司在第二天发布了这份报告Viasat提供了更多细节关于2月24日的中断,当时俄罗斯正开始入侵乌克兰。这次中断导致乌克兰数千名用户和欧洲数万名用户暂时无法上网。
Viasat的调查发现,该事件背后的黑客利用一个配置错误的VPN设备远程访问卫星互联网基础设施,然后在大量调制解调器上使用“合法的、有针对性的管理命令”使其脱机。
然而,Viasat的调查并没有提到任何数据清除恶意软件。相反,该公司的报告指出,“破坏性命令”覆盖了受影响调制解调器闪存中的关键数据,使其失效。
尽管如此,Viasat并没有否认SentinelOne关于酸雨的发现。这家卫星互联网提供商在一份声明中表示:“SentinelLabs报告中关于ukrop二进制文件的分析与我们报告中的事实是一致的——具体来说,SentinelLabs识别出了使用合法管理命令在调制解调器上运行的破坏性可执行文件,正如Viasat之前描述的那样。”
目前尚不清楚为什么Viasat没有提及数据清除恶意软件的存在,但它指出:“由于正在进行调查,并确保我们的系统免受持续攻击的安全,我们不能公开分享事件的所有法医细节。”在这个过程中,我们一直并将继续与世界各地的执法部门和政府机构合作,他们可以获得事件的细节。”
AcidRain至少是第七种数据擦除恶意软件目标是与乌克兰有关的IT系统。自俄罗斯入侵期间和之前以来,这些攻击一直针对该国的许多公司。
SentinelOne的报告指出,AcidRain确实与2018年美国的另一种名为VPNFilter的恶意软件有一些相似之处犯罪嫌疑人来自俄罗斯政府支持的黑客。SentinelOne补充说:“我们以中等可信度评估,AcidRain和VPNFilter stage 3破坏性插件之间存在开发相似性。据报道,美国情报部门也是如此犯罪嫌疑人入侵Viasat的是俄罗斯军事间谍。
SentinelOne的研究员Juan Andres Guerrero - Saade在推特上写道:“我们认为,VPNFilter插件和AcidRain之间存在着值得注意的发展特征,但我们尽量不要夸大这一观点。”“这是一个需要压力测试的假设,我们邀请研究界来看看并分享他们的发现。”