Η Viasat επιβεβαίωσε πως wiper malware είναι υπεύθυνο για την αχρήστευση πάνω από 10 χιλιάδων δορυφορικών modem της

**nnn** · 04-04-22, 11:25

Η Viasat - ο πάροχος δορυφορικής ευρυζωνικής σύνδεσης υψηλής ταχύτητας, του οποίου τα μόντεμ τέθηκαν εκτός λειτουργίας στην Ουκρανία και σε άλλα μέρη της Ευρώπης νωρίτερα τον Μάρτιο - επιβεβαίωσε τη θεωρία ερευνητών τρίτων ότι νέο κακόβουλο λογισμικό wiper με πιθανούς δεσμούς με τη ρωσική κυβέρνηση ήταν υπεύθυνο για την επίθεση.

Σε μια έκθεση που δημοσιεύθηκε την Πέμπτη, οι ερευνητές της SentinelOne δήλωσαν ότι αποκάλυψαν το νέο modem wiper και το ονόμασαν AcidRain. Οι ερευνητές δήλωσαν ότι το AcidRain μοιράζεται πολλαπλές τεχνικές ομοιότητες με τμήματα του VPNFilter, ενός κακόβουλου λογισμικού που μόλυνε περισσότερα από 500.000 μόντεμ οικιακών και μικρών γραφείων στις ΗΠΑ. Πολλές κυβερνητικές υπηρεσίες των ΗΠΑ - πρώτα το FBI και αργότερα οργανισμοί όπως η Εθνική Υπηρεσία Ασφαλείας - απέδωσαν το κακόβουλο λογισμικό modem σε ρωσικούς κρατικούς φορείς απειλών.

Οι ερευνητές της SentinelOne Juan Andres Guerrero-Saade και Max van Amerongen υποστήριξαν ότι το AcidRain χρησιμοποιήθηκε σε μια κυβερνοεπίθεση που σαμποτάρισε χιλιάδες μόντεμ που χρησιμοποιούσαν πελάτες της Viasat. Μεταξύ των ενδείξεων που βρήκαν ήταν το όνομα "ukrop" για ένα από τα δυαδικά αρχεία πηγής του AcidRain.

Ενώ η SentinelOne δήλωσε ότι δεν μπορούσε να είναι σίγουρη ότι η θεωρία της ήταν σωστή, οι εκπρόσωποι της Viasat δήλωσαν γρήγορα ότι η θεωρία ήταν σωστή. Η Viasat δήλωσε επίσης ότι το εύρημα ήταν σύμφωνο με μια σύντομη επισκόπηση που δημοσίευσε η εταιρεία την Τετάρτη.

Η Viasat έγραψε:

Η ανάλυση στην έκθεση της SentinelLabs σχετικά με το δυαδικό αρχείο ukrop συνάδει με τα γεγονότα της έκθεσής μας - συγκεκριμένα, η SentinelLabs προσδιορίζει το καταστροφικό εκτελέσιμο πρόγραμμα που εκτελέστηκε στα μόντεμ χρησιμοποιώντας μια νόμιμη εντολή διαχείρισης, όπως περιέγραψε προηγουμένως η Viasat. Όπως σημειώνεται στην έκθεσή μας: "ο επιτιθέμενος κινήθηκε πλευρικά μέσω αυτού του αξιόπιστου δικτύου διαχείρισης σε ένα συγκεκριμένο τμήμα δικτύου που χρησιμοποιείται για τη διαχείριση και τη λειτουργία του δικτύου και στη συνέχεια χρησιμοποίησε αυτή την πρόσβαση στο δίκτυο για να εκτελέσει νόμιμες, στοχευμένες εντολές διαχείρισης σε μεγάλο αριθμό οικιακών μόντεμ ταυτόχρονα".

Το AcidRain είναι το έβδομο ξεχωριστό κομμάτι κακόβουλου λογισμικού wiper που σχετίζεται με τη συνεχιζόμενη εισβολή της Ρωσίας στην Ουκρανία. Οι Guerrero-Saade και van Amerongen δήλωσαν ότι το AcidRain είναι ένα εκτελέσιμο αρχείο για MIPS, την αρχιτεκτονική υλικού για τα μόντεμ που χρησιμοποιούν οι πελάτες της Viasat. Το κακόβουλο λογισμικό μεταφορτώθηκε στο VirusTotal από την Ιταλία και έφερε το όνομα "ukrop".

"Παρά τα όσα μας δίδαξε η εισβολή στην Ουκρανία, το κακόβουλο λογισμικό wiper είναι σχετικά σπάνιο", έγραψαν οι ερευνητές. "Πολύ περισσότερο το κακόβουλο λογισμικό wiper που στοχεύει σε δρομολογητές, μόντεμ ή συσκευές IoT".

Οι ερευνητές βρήκαν σύντομα "μη τετριμμένες" αλλά τελικά "μη πειστικές" αναπτυξιακές ομοιότητες μεταξύ του AcidRain και ενός "dstr", το όνομα ενός wiper module για το VPNFilter. Οι ομοιότητες περιλάμβαναν ομοιότητα κώδικα 55%, όπως μετρήθηκε από ένα εργαλείο γνωστό ως TLSH, πανομοιότυπους πίνακες συμβολοσειρών κεφαλίδας τμήματος και την "αποθήκευση του προηγούμενου αριθμού syscall σε μια παγκόσμια θέση πριν από μια νέα syscall".

"Προς το παρόν, δεν μπορούμε να κρίνουμε αν πρόκειται για μια κοινή βελτιστοποίηση του μεταγλωττιστή ή για μια παράξενη ιδιορρυθμία του προγραμματιστή", δήλωσαν οι ερευνητές.

Translated with www.DeepL.com/Translator (free version)

Αναλυτικά : Ars Technica

**puntomania** · 04-04-22, 12:33

Εχει ο μπατζανάκης μου μια τέτοια σύνδεση απ την forthnet/nova όντος τέλη Φλεβάρη σταμάτησε να δουλεύει, το μοντεμ με το που έβαζα στο ρευμα...απλά αναβαν τα 4 μπλέ λαμπάκια σταθερά και τέλος, η δε νοβα...πετούσε αετό, καμία ενημέρωση, καμία εναλλακτική, βάλαμε προσωρινά βοντα 4γ και μετά απο αρκετές ενοχλήσεις, θα στείλουν λεει νεο εξοπλισμό... πιθανών για αλλο δορυφόρο η συχνότητα.

**Nodens** · 04-04-22, 21:03

Έτσι εξηγείται γιατί προχώρησε η Nova σε αντικατάσταση του router.

**Koala_** · 05-04-22, 00:21

Όσοι είχαν viasat μέσω οποιοδήποτε εγχώριου η άλλου παρόχου, θα πρέπει να αλλάξουν το VSAT modem.

Και με την αγορά hardware να υποφέρει ήδη λόγω της έλλειψης επεξεργαστών, κόσμος και ντουνιάς θα μείνει στον άσο για πολύ καιρό...