俄罗斯应用AcidRain擦除恶意软件攻打了ViaSat SentinelLabs

早些时刻，美国卫星通信服务提供商 Viasat 遭受了一轮网络攻打，结果造成中东欧地域的服务产生了终止。而由 SentinelLabs 钻研人员 JuanAndres Guerrero-Saade 和 Max van Amerongen最新发布的安保钻研报告可知，这口锅应该扣在一款名为“酸雨”(AcidRain)的新型擦除(wiper)恶意软件头上。

Surfbeam2 调制解调器攻打前后的并排比拟(via SentinelLabs)

鉴于此事与俄乌抵触迸发的期间点凑近，早期考查以为俄罗斯方面有很大的嫌疑。此外这轮攻打还断开了德国约 5800台风力发电机的远程访问，后来还以为它们遭到了散布式拒绝服务(DDoS)攻打。

不过参考 SentinelLabs 最新发布的安保钻研报告，作为一款新冒出的擦除恶意软件，AcidRain旨在远程肃清易受攻打的调制解调器和路由器。

设备擦除代码：写入 ox00(左)或经常使用 MEM*IOCTLS(右)

可知 3 月 15 日那天，钻研人员从意大应用户 ukrop 上行到 VirusTotal的样本中发现了端倪，并推测该用户名为“乌克兰执行”(Ukraine operation)的缩写。

至于这款擦除器的性能，钻研人员称其相当“通用”。由于在尝试破坏数据之前，它会对文件系统和各种已知存储设备上的文件启动深度抹除，而后让设备重启变砖。

尝试重启设备的代码

SentinelLabs 钻研人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 示意：

AcidRain 的性能相对便捷，并且会启动暴力尝试。象征着攻打者要么不相熟指标固件的细节，要么宿愿该工具坚持通用性和可重复经常使用。

局部题目字符串对比

虽然攻打者确实切身份仍是个谜，但 SentinelLabs 观察到了 AcidRain 和 VPNFilter 恶意软件之间的相似之处 ——后者感化了世界数千个家庭和小型企业的路由器等网络设备。

2018 年，FBI 将 VPNFilter 操作归咎于有俄罗斯背景的“Fancy Bear”(又名 APT28)黑客组织。

左为 AcidRain，右为 VPNFilter 。

最后，钻研人员推测 AcidRain 是自俄乌抵触迸发以来的第七款擦除类恶意软件，但仍需进一步考查面前的相关。由周三宣布的无关 2月份网络攻打的第一份事情照应报告可知：