AcidRain-Malware ist für den Angriff auf Viasat verantwortlich
Viasat bestätigte, dass es die für den Cyberangriff verantwortliche Malware, der die Dienste des Unternehmens im Februar lahmlegte, ausfindig gemacht hat. Die verwendete Malware trägt den vorläufigen Namen AcidRain und hat zerstörerische Fähigkeiten.
Viasat, ein weltweiter Kommunikationsanbieter mit Hauptsitz in den USA, erlitt Ende Februar 2022 Dienstausfälle in der Ukraine und mehreren anderen europäischen Gebieten. Jetzt behaupten Forscher von SentinelLabs, dass es die AcidRain-Malware war, die bei dem Angriff verwendet wurde, der die Viasat-Infrastruktur zum Erliegen brachte.
AcidRain wurde in früheren Angriffen verwendet
AcidRain ist eine Linux-Binärdatei, die entwickelt wurde, um Netzwerkgeräte, einschließlich Modems und Router, zu löschen. Forscher glauben, dass es dieselbe Malware war, die Ende Februar die Hardware von Viasat lahmgelegt hat.
Nach Angaben des SentinelLabs-Teams gibt es gewisse Ähnlichkeiten zwischen AcidRain und einer Komponente der VPNFilter-Malware. VPNFilter gibt es schon seit einiger Zeit, wobei das FBI bereits Mitte 2018 alle Router-Benutzer, auch die zu Hause, aufforderte, ihre Router neu zu starten, um potenzielle VPNFilter-Angriffe zu vermeiden. VPNFilter wurde dann mit dem russischen staatlich unterstützten Bedrohungsakteur namens Fancy Bear oder APT28 in Verbindung gebracht.
Laut von Viasat selbst veröffentlichten Informationen konzentrierte sich der Angriff, der den Dienst im Februar außer Betrieb setzte, auf nur einen Teil des KA-SAT-Netzwerks des Unternehmens, das von einer Tochtergesellschaft betrieben wird.
Malware schreibt die Router-Firmware neu
In Bezug darauf, wie AcidRain Hardware ausschaltet, erklärte Viasat, dass die Malware wichtige Teile des Flash-Speichers auf den Geräten neu schreibt, wodurch es einem infizierten Gerät unmöglich gemacht wird, mit dem Netzwerk zu kommunizieren. Der Schaden ist jedoch nicht dauerhaft und das Flashen mit Werksfirmware sollte in der Lage sein, die Einheiten wieder in Ordnung zu bringen.
Es scheint, dass der Eintrittspunkt für den Bedrohungsakteur bei diesem Angriff ein schlecht konfigurierter VPN-Punkt war. Dadurch konnten die Hacker auf die im Netzwerk befindlichen KA-SAT-Verwaltungskomponenten zugreifen.
ZDNet berichtete, dass Viasat bestätigt hat, dass die internen Daten des Unternehmens mit den Erkenntnissen des Teams von SentinelLabs übereinstimmen, mit Ausnahme eines Punktes – SentinelLabs glaubt, dass der Angriff auf die Lieferkette zurückzuführen sein könnte, während Viasat behauptet, dass dies nicht der Fall sei.
Die AcidRain-Malware ist die neueste in einer Reihe zerstörerischer Malware-Payloads, die seit Beginn der russischen Invasion des Landes auf dem Territorium der Ukraine eingesetzt werden. Frühere Payloads konzentrierten sich nicht auf Netzwerkgeräte, sondern auf Speicher und Datenlöschung.