编者按
美国网络安全公司SentinelLabs于3月31日发布题为《酸雨:调制解调器擦除软件浇淋欧洲》的报告。报告称,美国卫星通信提供商Viasat于2月底遭受的网络攻击可能源于名为“酸雨”的恶意擦除软件。
SentinelLabs表示,“酸雨”可能是专门为针对乌克兰的行动而开发的,用于破坏调制解调器和路由器;该软件通过使用KA-SAT管理机制被部署在调制解调器和路由器上,随后会对设备文件系统进行深度擦除,完成擦除后会重新启动设备导致设备无法启用;“酸雨”功能相对简单,并且会进行暴力尝试,这意味着攻击者可能不熟悉目标固件的详情,或希望该工具保持通用性和复用性;“酸雨”和恶意软件VPNFilter存在相似之处,后者被认为与俄罗斯黑客组织“奇幻熊”和“沙虫”存在关联。
“酸雨”是今年以来被发现的针对乌克兰的第七种数据擦除恶意软件,此前六种恶意软件包括:乌克兰计算机应急响应小组发现的DoubleZero;网络安全公司ESET发现的HermeticWiper、IsaacWiper和CaddyWiper;乌克兰国家特殊通信和信息保护局发现的WhisperKill;微软公司发现的WhisperGate。
奇安网情局编译有关情况,供读者参考。
根据最新发布的安全研究,最近对美国卫星通信提供商Viasat的网络攻击可能是破坏性擦除恶意软件攻击的结果,该事件引发了中欧和东欧的卫星服务中断,影响了位于乌克兰的数千名客户和欧洲各地的数万名客户,包括断开了对德国约5800台风力涡轮机的远程访问。
自2月24日俄乌战争爆发以来,导致Viasat的KA-SAT网络无法运行的网络攻击的详细信息迄今尚不清楚。该攻击最初被认为是分布式拒绝服务攻击的结果。但SentinelLabs研究人员现在认为此次事件源于一种名为“酸雨”(AcidRain)的新型恶意擦除软件,该软件可远程擦除易受攻击的调制解调器和路由器。
用于擦除乌克兰卫星通信调制解调器
在一名意大利用户以“ukrop”为名将“酸雨”上传到VirusTotal后,SentinelLabs研究人员于3月15日发现了该软件。研究人员称,“ukrop”可能是“乌克兰行动”(Ukraine operation)的缩写。
SentinelOne表示,该恶意软件可能是专门为针对乌克兰的行动而开发的,并可能用于在KA-SAT网络攻击中擦除调制解调器。SentinelOne认为,“威胁行为者在供应链攻击中使用KA-SAT管理机制来推动为调制解调器和路由器设计的擦除软件。这种设备的擦除软件会覆盖调制解调器闪存中的关键数据,使其无法操作并需要重新刷新或更换。”
Viasat证实了SentinelOne的看法,称破坏数据的恶意软件是使用“合法管理”命令部署在调制解调器上的。Viasat发言人称,“SentinelLabs报告中关于ukrop二进制文件的分析与我们报告中的事实一致。具体而言,SentinelLabs确定了使用Viasat之前描述的合法管理命令在调制解调器上运行的破坏性可执行文件。”
被部署后,“酸雨”会遍览受感染的路由器或调制解调器的整个文件系统。它还使用所有可能的设备标识符擦除闪存、SD/MMC卡和可以找到的任何虚拟块设备。为了破坏受感染设备上的数据,“酸雨”使用最多0x40000字节的数据覆盖文件内容,或使用MEMGETINFO、MEMUNLOCK、MEMERASE和MEMWRITEOOB输入/输出控制(IOCTL)系统调用。在数据擦除过程完成后,该恶意软件会重新启动设备,使其无法使用。
恶意擦除软件与俄罗斯黑客组织存在关联
SentinelLabs研究人员胡安·安德烈斯·格雷罗-萨德和马克斯·范·阿梅隆根称,“AcidRain的功能相对简单,并且会进行暴力尝试,这可能意味着攻击者要么不熟悉目标固件的详情,要么希望该工具保持通用性和复用性。”
虽然攻击者的身份仍然未知,但SentinelLabs已经注意到“酸雨”和VPNFilter恶意软件间的相似之处,后者感染了全球数千个家庭和小型企业路由器和网络设备。2018年,美国联邦调查局将VPNFilter操作归因于俄罗斯支持的黑客组织“奇幻熊”(Fancy Bear,又名APT28)。而最近,美国国家安全局和网络安全和基础设施安全局(CISA)将其与被指控开展5年疯狂攻击的“沙虫”(Sandworm)相关联,包括针对全球数百家公司和医院的破坏性NotPetya网络攻击,以及导致部分乌克兰电网瘫痪的网络攻击。APT28和“沙虫”都与俄罗斯军事情报机构GRU有联系。
研究人员指出,虽然“不能明确地”将“酸雨”与VPNFilter或更大的“沙虫”威胁集群联系起来,但“对其组件之间非平凡的发展相似性进行了中等置信度评估。”
今年针对乌克兰部署的第七个数据擦除软件
“酸雨”是在针对乌克兰的攻击中部署的第七种数据擦除恶意软件,自今年年初以来,已有六种恶意软件被用于攻击乌克兰。
乌克兰计算机应急响应小组最近报告称,其跟踪为“双零”(DoubleZero)的数据擦除器已被部署在针对乌克兰企业的攻击中。
在俄乌战争爆发的前一天,ESET发现了一种现在称为HermeticWiper的数据擦除恶意软件,该恶意软件与勒索软件诱饵一起用于攻击乌克兰机构。
在俄乌战争爆发当日,ESET还发现了一个名为IsaacWiper的数据擦除器和一个名为HermeticWizard的新蠕虫,该蠕虫用于投放HermeticWiper有效载荷。
ESET还发现了第四种破坏数据的恶意擦除软件CaddyWiper,该软件可以从附加的驱动程序中删除用户数据和分区信息,还可以擦除其部署的Windows域中的数据。
乌克兰国家特殊通信和信息保护局发现了第五个恶意擦除软件WhisperKill,该机构表示它重复使用了80%的Encrpt3d勒索软件代码(又名WhiteBlackCrypt勒索软件)。
1月中旬,微软发现了第六个被追踪为WhisperGate的擦除软件,该软件伪装成勒索软件对乌克兰数据开展擦除攻击。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。