早些時候，美國衛(wèi)星通信服務提供商 Viasat 遭受了一輪網絡攻擊，結果導致中東歐地區(qū)的服務出現了中斷。而由 SentinelLabs 研究人員 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新發(fā)布的安全研究報告可知，這口鍋應該扣在一款名為“酸雨”(AcidRain)的新型擦除(wiper)惡意軟件頭上。

Surfbeam2 調制解調器攻擊前后的并排比較(via SentinelLabs)

鑒于此事與俄烏沖突爆發(fā)的時間點接近，早期調查認為俄羅斯方面有很大的嫌疑。此外這輪攻擊還斷開了德國約 5800 臺風力發(fā)電機的遠程訪問，起初還以為它們遭到了分布式拒絕服務(DDoS)攻擊。

不過參考 SentinelLabs 最新發(fā)布的安全研究報告，作為一款新冒出的擦除惡意軟件，AcidRain 旨在遠程清除易受攻擊的調制解調器和路由器。

設備擦除代碼：寫入 ox40000(左)或使用 MEM*IOCTLS(右)

可知 3 月 15 日那天，研究人員從意大利用戶 ukrop 上傳到 VirusTotal 的樣本中發(fā)現了端倪，并推測該用戶名為“烏克蘭行動”(Ukraine operation)的縮寫。

至于這款擦除器的功能，研究人員稱其相當“通用”。因為在嘗試破壞數據之前，它會對文件系統和各種已知存儲設備上的文件進行深度抹除，然后讓設備重啟變磚。

嘗試重啟設備的代碼

SentinelLabs 研究人員 Juan Andres Guerrero-Saade 和 Max van Amerongen 表示：

AcidRain 的功能相對簡單，并且會進行暴力嘗試。意味著攻擊者要么不熟悉目標固件的細節(jié)，要么希望該工具保持通用性和可重復使用。

部分標題字符串對比

盡管攻擊者的確切身份仍是個謎，但 SentinelLabs 觀察到了 AcidRain 和 VPNFilter 惡意軟件之間的相似之處 —— 后者感染了全球數千個家庭和小型企業(yè)的路由器等網絡設備。

2018 年，FBI 將 VPNFilter 操作歸咎于有俄羅斯背景的“Fancy Bear”(又名 APT28)黑客組織。

左為 AcidRain，右為 VPNFilter 。

最后，研究人員推測 AcidRain 是自俄烏沖突爆發(fā)以來的第七款擦除類惡意軟件，但仍需進一步調查背后的關系。由周三發(fā)表的有關 2 月份網絡攻擊的第一份事件響應報告可知：

• 未具名的攻擊者利用了錯誤配置的虛擬專用網設備，遠程訪問了 KA-SAT 網絡的‘可信訪問’部分。
• 接著利用相關訪問權限，執(zhí)行了同時面向大量家庭調制解調器的有針對性的管理命令。
• 這些破壞性命令覆蓋了調制解調器閃存中的關鍵數據，導致 Modem 無法訪問網絡、但也并非永久無法使用。