Attacco a Viasat effettuato con il wiper AcidRain

Attacco a Viasat effettuato con il wiper AcidRain

Gli esperti di SentinelOne hanno scoperto la memoria flash dei modem collegati alla rete KA-SAT di Viasat è stata cancellata con il wiper AcidRain.
Gli esperti di SentinelOne hanno scoperto la memoria flash dei modem collegati alla rete KA-SAT di Viasat è stata cancellata con il wiper AcidRain.

Emergono nuovi dettagli sull’attacco effettuato il 24 febbraio contro la rete KA-SAT di Viasat che ha impedito a migliaia di utenti europei di accedere ad Internet (oltre che l’accesso remoto a circa 5.800 pale eoliche in Germania). Gli esperti di SentinelOne hanno scoperto che il malware usato dai cybercriminali (quasi certamente russi) è il wiper AcidRain, dopo aver analizzato il codice caricato su VirusTotal da un utente italiano.

Modem offline con AcidRain

Nel dettagliato report di SentinelOne ci sono riferimenti al comunicato ufficiale di Viasat, ma viene evidenziato che l’azienda californiana non ha fornito tutte le informazioni. In particolare non ha specificato come è stata effettuata la sovrascrittura dei dati nella memoria flash dei modem (quasi 30.000 unità sono state sostituite).

Il 15 marzo è stato caricato su VirusTotal un file binario MIPS ELF denominato “ukrop” (forse acronimo di Ukrain Operation). Gli esperti di SentinelOne hanno scoperto che si tratta del wiper AcidRain. Il codice del malware include le funzioni che cancellano il filesystem, sovrascrivono i dati ed effettuano un riavvio del modem.

AcidRain presenta alcune similitudini con un altro noto wiper, ovvero VPNFilter, sviluppato dai cybercriminali dei gruppo Fancy Bear o Sandworm, entrambi collegati all’agenzia di intelligence militare della Russia (GRU). AcidRain è il settimo wiper utilizzato per colpire l’Ucraina. Gli altri sono WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper e DoubleZero.

Un portavoce di Viasat ha confermato che AcidRain è il malware utilizzato per mettere fuori uso i modem della rete KA-SAT. Non sono stati forniti tutti i dettagli tecnici perché le indagini sono ancora in corso.

Fonte: SentinelOne
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 1 apr 2022
Link copiato negli appunti