Un post di SentinelOne descrive un nuovo malware soprannominato AcidRain che potrebbe essere collegato all’attacco Viasat del mese scorso. Scopriamo insieme tutti i dettagli.
AcidRain, un nuovo malware russo
Viasat, società di comunicazioni con sede negli Stati Uniti, ha confermato tramite comunicato stampa mercoledì di aver subito un attacco informatico il mese scorso. L’attacco ha preso di mira la rete internet satellitare KA-SAT della società e ha colpito “diverse migliaia” di clienti in Ucraina, così come decine di migliaia di clienti fissi a banda larga in tutta Europa.
L’internet provider ha chiamato l’attacco “sfaccettato e deliberato”, e ha offerto alcuni dettagli specifici nel suo comunicato stampa. All’inizio Viasat non ha attribuito l’attacco a un attore specifico, né ha fornito dettagli completi su come si è verificato l’attacco.
Tuttavia i ricercatori di SentinelLab, le cui indagini sono ancora in corso, hanno trovato diverse analogie tra le modalità di azione di AcidRain e un altro attacco del 2018 riconducibile ad noto gruppo APT collegato al governo russo.
AcidRain è stato quindi classificato come il settimo virus wiper correlato all’invasione russa dell’Ucraina.
Un post sul blog di giovedì di SentinelLabs ha parlato dell’attacco. Il fornitore di sicurezza ha descritto AcidRain come un “malware progettato per cancellare modem e router”. I wiper sono una classe distruttiva di malware con l’obiettivo di cancellare il contenuto della memoria dei dispositivi che infetta.
La funzionalità di AcidRain è relativamente semplice e richiede un tentativo di forza bruta alto, il che significa che gli attaccanti non avevano familiarità con i particolari del firmware di destinazione o volevano che lo strumento rimanesse generico e riutilizzabile. Il binario esegue un wipe approfondito del sistema e di vari file noti del dispositivo di archiviazione. Se il codice è in esecuzione come root, AcidRain esegue una sovrascrittura ricorsiva iniziale e la cancellazione di file non standard nel filesystem.