AcidRain Malware

Eine weitere Datenlösch-Malware, die bei Angriffen auf ukrainische Ziele eingesetzt wird, wurde von Cybersicherheitsforschern entdeckt. Die Bedrohung mit dem Namen AcidRain wurde als Teil eines schädlichen Angriffs eingesetzt, der darauf abzielte, die Satellitenverwaltungsmodems zu stören. Der Angriff fand am 24. Februar 2022 statt und zielte auf den Satelliten-Breitbanddienst KA-SAT ab, indem die Daten von SATCOM-Modems gelöscht und unbrauchbar gemacht wurden.

Die Malware-Bedrohung soll mit Brute-Force in die Geräte eindringen und dann jede einzelne Datei löschen, die sie auf den betroffenen Systemen findet. Nach der Bereitstellung durchläuft AcidRain das gesamte Dateisystem des infizierten Modems. Darüber hinaus kann es Flash-Speicher, SD/MMC-Karten und alle virtuellen Blockgeräte löschen. Es versucht, seine schändlichen Ziele zu erreichen, indem es alle möglichen Geräte verwendet, die es identifiziert. Die erkannten Dateien werden zerstört, indem ihr Inhalt bis zu 0x40000 Bytes an Daten überschrieben wird. AcidRain verwendet auch die IOCTL (Input/Output Control)-Systemaufrufe MEMGETINFO, MEMUNLOCK, MEMERASE und MEMWRITEOOB. Nach dem Löschen der Dateien startet die Malware das Gerät neu und hinterlässt es in einem unbrauchbaren Zustand.

Die Forscher, die die bedrohlichen Operationen entdeckten und analysierten, beschrieben sie als einen Angriff auf die Lieferkette, der einen Wiper lieferte, der speziell zum Löschen von Modems und Routern entwickelt wurde. Viasat, der Hersteller der Zielgeräte, widerlegte diese Schlussfolgerung jedoch, indem er erklärte, dass er keine Beweise für eine Störung der Lieferkette gefunden habe. Das Unternehmen räumte dennoch ein, dass die zerstörerische ausführbare Datei der AcidRain-Malware mit einem legitimen Verwaltungsbefehl auf den Geräten bereitgestellt wurde.