鑽石舞台

根據最新發布的安全研究，最近對美國衛星通信提供商Viasat的網絡攻擊可能是破壞性擦除惡意軟件攻擊的結果，該事件引發了中歐和東歐的衛星服務中斷，影響了位於烏克蘭的數千名客戶和歐洲各地的數萬名客戶，包括斷開了對德國約5800颱風力渦輪機的遠程訪問。

自2月24日俄烏戰爭爆發以來，導致Viasat的KA-SAT網絡無法運行的網絡攻擊的詳細信息迄今尚不清楚。該攻擊最初被認為是分布式拒絕服務攻擊的結果。但SentinelLabs研究人員現在認為此次事件源於一種名為「酸雨」（AcidRain）的新型惡意擦除軟件，該軟件可遠程擦除易受攻擊的調製解調器和路由器。

在一名意大利用戶以「ukrop」為名將「酸雨」上傳到VirusTotal後，SentinelLabs研究人員於3月15日發現了該軟件。研究人員稱，「ukrop」可能是「烏克蘭行動」（Ukraine operation）的縮寫。

SentinelOne表示，該惡意軟件可能是專門為針對烏克蘭的行動而開發的，並可能用於在KA-SAT網絡攻擊中擦除調製解調器。SentinelOne認為，「威脅行為者在供應鏈攻擊中使用KA-SAT管理機制來推動為調製解調器和路由器設計的擦除軟件。這種設備的擦除軟件會覆蓋調製解調器閃存中的關鍵數據，使其無法操作並需要重新刷新或更換。」

Viasat證實了SentinelOne的看法，稱破壞數據的惡意軟件是使用「合法管理」命令部署在調製解調器上的。Viasat發言人稱，「SentinelLabs報告中關於ukrop二進制文件的分析與我們報告中的事實一致。具體而言，SentinelLabs確定了使用Viasat之前描述的合法管理命令在調製解調器上運行的破壞性可執行文件。」

被部署後，「酸雨」會遍覽受感染的路由器或調製解調器的整個文件系統。它還使用所有可能的設備標識符擦除閃存、SD/MMC卡和可以找到的任何虛擬塊設備。為了破壞受感染設備上的數據，「酸雨」使用最多0x40000字節的數據覆蓋文件內容，或使用MEMGETINFO、MEMUNLOCK、MEMERASE和MEMWRITEOOB輸入/輸出控制（IOCTL）系統調用。在數據擦除過程完成後，該惡意軟件會重新啟動設備，使其無法使用。

SentinelLabs研究人員胡安·安德烈斯·格雷羅-薩德和馬克斯·范·阿梅隆根稱，「AcidRain的功能相對簡單，並且會進行暴力嘗試，這可能意味着攻擊者要麼不熟悉目標固件的詳情，要麼希望該工具保持通用性和復用性。」

雖然攻擊者的身份仍然未知，但SentinelLabs已經注意到「酸雨」和VPNFilter惡意軟件間的相似之處，後者感染了全球數千個家庭和小型企業路由器和網絡設備。2018年，美國聯邦調查局將VPNFilter操作歸因於俄羅斯支持的黑客組織「奇幻熊」（Fancy Bear，又名APT28）。而最近，美國國家安全局和網絡安全和基礎設施安全局（CISA）將其與被指控開展5年瘋狂攻擊的「沙蟲」（Sandworm）相關聯，包括針對全球數百家公司和醫院的破壞性NotPetya網絡攻擊，以及導致部分烏克蘭電網癱瘓的網絡攻擊。APT28和「沙蟲」都與俄羅斯軍事情報機構GRU有聯繫。

研究人員指出，雖然「不能明確地」將「酸雨」與VPNFilter或更大的「沙蟲」威脅集群聯繫起來，但「對其組件之間非平凡的發展相似性進行了中等置信度評估。」

「酸雨」是在針對烏克蘭的攻擊中部署的第七種數據擦除惡意軟件，自今年年初以來，已有六種惡意軟件被用於攻擊烏克蘭。

烏克蘭計算機應急響應小組最近報告稱，其跟蹤為「雙零」（DoubleZero）的數據擦除器已被部署在針對烏克蘭企業的攻擊中。

在俄烏戰爭爆發的前一天，ESET發現了一種現在稱為HermeticWiper的數據擦除惡意軟件，該惡意軟件與勒索軟件誘餌一起用於攻擊烏克蘭機構。

在俄烏戰爭爆發當日，ESET還發現了一個名為IsaacWiper的數據擦除器和一個名為HermeticWizard的新蠕蟲，該蠕蟲用於投放HermeticWiper有效載荷。

ESET還發現了第四種破壞數據的惡意擦除軟件CaddyWiper，該軟件可以從附加的驅動程序中刪除用戶數據和分區信息，還可以擦除其部署的Windows域中的數據。

烏克蘭國家特殊通信和信息保護局發現了第五個惡意擦除軟件WhisperKill，該機構表示它重複使用了80%的Encrpt3d勒索軟件代碼（又名WhiteBlackCrypt勒索軟件）。

1月中旬，微軟發現了第六個被追蹤為WhisperGate的擦除軟件，該軟件偽裝成勒索軟件對烏克蘭數據開展擦除攻擊。

文章來源：奇安網情局