早些時(shí)候，美國衛(wèi)星通信服務(wù)提供商 Viasat 遭受了一輪網(wǎng)絡(luò)攻擊，結(jié)果導(dǎo)致中東歐地區(qū)的服務(wù)出現(xiàn)了中斷。而由 SentinelLabs 研究人員 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新發(fā)布的安全研究報(bào)告可知，這口鍋應(yīng)該扣在一款名為“酸雨”(AcidRain)的新型擦除(wiper)惡意軟件頭上。

Surfbeam2 調(diào)制解調(diào)器攻擊前后的并排比較(via SentinelLabs)

鑒于此事與俄烏沖突爆發(fā)的時(shí)間點(diǎn)接近，早期調(diào)查認(rèn)為俄羅斯方面有很大的嫌疑。此外這輪攻擊還斷開了德國約 5800 臺(tái)風(fēng)力發(fā)電機(jī)的遠(yuǎn)程訪問，起初還以為它們遭到了分布式拒絕服務(wù)(DDoS)攻擊。

不過參考 SentinelLabs 最新發(fā)布的安全研究報(bào)告，作為一款新冒出的擦除惡意軟件，AcidRain 旨在遠(yuǎn)程清除易受攻擊的調(diào)制解調(diào)器和路由器。

設(shè)備擦除代碼：寫入 ox40000(左)或使用 MEM*IOCTLS(右)

可知 3 月 15 日那天，研究人員從意大利用戶 ukrop 上傳到 VirusTotal 的樣本中發(fā)現(xiàn)了端倪，并推測該用戶名為“烏克蘭行動(dòng)”(Ukraine operation)的縮寫。

至于這款擦除器的功能，研究人員稱其相當(dāng)“通用”。因?yàn)樵趪L試破壞數(shù)據(jù)之前，它會(huì)對文件系統(tǒng)和各種已知存儲(chǔ)設(shè)備上的文件進(jìn)行深度抹除，然后讓設(shè)備重啟變磚。

嘗試重啟設(shè)備的代碼

SentinelLabs 研究人員 Juan Andres Guerrero-Saade 和 Max van Amerongen 表示：

AcidRain 的功能相對簡單，并且會(huì)進(jìn)行暴力嘗試。意味著攻擊者要么不熟悉目標(biāo)固件的細(xì)節(jié)，要么希望該工具保持通用性和可重復(fù)使用。

部分標(biāo)題字符串對比

盡管攻擊者的確切身份仍是個(gè)謎，但 SentinelLabs 觀察到了 AcidRain 和 VPNFilter 惡意軟件之間的相似之處 —— 后者感染了全球數(shù)千個(gè)家庭和小型企業(yè)的路由器等網(wǎng)絡(luò)設(shè)備。

2018 年，F(xiàn)BI 將 VPNFilter 操作歸咎于有俄羅斯背景的“Fancy Bear”(又名 APT28)黑客組織。

左為 AcidRain，右為 VPNFilter 。

最后，研究人員推測 AcidRain 是自俄烏沖突爆發(fā)以來的第七款擦除類惡意軟件，但仍需進(jìn)一步調(diào)查背后的關(guān)系。由周三發(fā)表的有關(guān) 2 月份網(wǎng)絡(luò)攻擊的第一份事件響應(yīng)報(bào)告可知：

• 未具名的攻擊者利用了錯(cuò)誤配置的虛擬專用網(wǎng)設(shè)備，遠(yuǎn)程訪問了 KA-SAT 網(wǎng)絡(luò)的‘可信訪問’部分。
• 接著利用相關(guān)訪問權(quán)限，執(zhí)行了同時(shí)面向大量家庭調(diào)制解調(diào)器的有針對性的管理命令。
• 這些破壞性命令覆蓋了調(diào)制解調(diào)器閃存中的關(guān)鍵數(shù)據(jù)，導(dǎo)致 Modem 無法訪問網(wǎng)絡(luò)、但也并非永久無法使用。