安全厂商SentinelOne发现最新一宗资料删除软件攻击,让2月底欧洲通信卫星KA-SAT断线,并导致数万用户网络断线。
2月底俄罗斯侵略乌克兰不久,美国公司Viasat的高吞吐量通信卫星KA-SAT位于乌克兰境内的调制解调器遭到攻击断线,接着法国有近9,000家用户、以及欧洲电信卫星(Eutelsat)1万多名用户网络断线,并导致德国5,800多架用于发电的风机无法远程监控与控制。此次攻击起因虽然众说纷纭,但一直没有技术细节公布。但SentinelOne发现肇祸者是最新的资料删除程序。
SentinelOne 3月中在VirusTotal上发现一个ELF MIPS文件,文件名为ukrop,疑为ukraine和operation的综合。该公司将之命名为AcidRain。AcidRain的功能很简单,通过暴力破解访问受害系统。它的binary能对文件系统及多种存储设备的文件彻底删除资料。若AcidRain以根权限执行,会先启动多次复写,并删除文件系统内非标准的文件。
这个程序会扫描所有可能的设备文件识别符(file identifier)、启动设备文件,再以高达0x40000 bytes的资料复写之,或使用MEMGETINFO、MEMUNLOCK、MEMERASE和MEMWRITEOOB等系统调用(IOCTL)指令。等删除完成,即重新启动设备,结果让设备无法作用。
Viasat公司随后公布调查结果,显示攻击有2阶段,黑客先利用乌克兰境内的多台调制解调器发动拒绝服务攻击,造成当地KA-SAT调制解调器断线,之后进一步波及意大利的Viasat卫星通信管理运营商Skylogic,导致攻击扩大到欧洲其他地区的调制解调器。
根据分析,AcidRain使用的IOCTL类似攻击过QNAP的VPNFilter删除程序插件,后者被认为是俄罗斯政府御用黑客Fancy Bear或Sandworm所使用的工具。
研究人员指出,虽然资料删除程序相较其他类别的恶意程序来得罕见,但从乌克兰战争开打一个多月以来,AcidRain已是第7只,之前分别是WhisperKill、WhisperGate、HermeticWiper、IsaacWiper、CaddyWiper和DoubleZero。