Emergono nuovi dettagli sull’attacco effettuato il 24 febbraio contro la rete KA-SAT di Viasat che ha impedito a migliaia di utenti europei di accedere ad Internet (oltre che l’accesso remoto a circa 5.800 pale eoliche in Germania). Gli esperti di SentinelOne hanno scoperto che il malware usato dai cybercriminali (quasi certamente russi) è il wiper AcidRain, dopo aver analizzato il codice caricato su VirusTotal da un utente italiano.
Modem offline con AcidRain
Nel dettagliato report di SentinelOne ci sono riferimenti al comunicato ufficiale di Viasat, ma viene evidenziato che l’azienda californiana non ha fornito tutte le informazioni. In particolare non ha specificato come è stata effettuata la sovrascrittura dei dati nella memoria flash dei modem (quasi 30.000 unità sono state sostituite).
Il 15 marzo è stato caricato su VirusTotal un file binario MIPS ELF denominato “ukrop” (forse acronimo di Ukrain Operation). Gli esperti di SentinelOne hanno scoperto che si tratta del wiper AcidRain. Il codice del malware include le funzioni che cancellano il filesystem, sovrascrivono i dati ed effettuano un riavvio del modem.
AcidRain presenta alcune similitudini con un altro noto wiper, ovvero VPNFilter, sviluppato dai cybercriminali dei gruppo Fancy Bear o Sandworm, entrambi collegati all’agenzia di intelligence militare della Russia (GRU). AcidRain è il settimo wiper utilizzato per colpire l’Ucraina. Gli altri sono WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper e DoubleZero.
Un portavoce di Viasat ha confermato che AcidRain è il malware utilizzato per mettere fuori uso i modem della rete KA-SAT. Non sono stati forniti tutti i dettagli tecnici perché le indagini sono ancora in corso.