Viasat
安全廠商SentinelOne發現最新一宗資料刪除軟體攻擊,讓2月底歐洲通訊衛星KA-SAT斷線,並導致數萬用戶網路斷線。
2月底俄羅斯侵略烏克蘭不久,美國公司Viasat的高吞吐量通訊衛星KA-SAT位於烏克蘭境內的數據機遭到攻擊斷線,接著法國有近9,000家用戶、以及歐洲電信衛星(Eutelsat)1萬多名用戶網路斷線,並導致德國5,800多架用於發電的風機無法遠端監控與控制。此次攻擊起因雖然眾說紛紜,但一直沒有技術細節公布。但SentinelOne發現肇禍者是最新的資料刪除程式。
SentinelOne 3月中在VirusTotal上發現一個ELF MIPS檔案,檔名為ukrop,疑為ukraine和operation的綜合。該公司將之命名為AcidRain。AcidRain的功能很簡單,透過暴力破解存取受害系統。它的binary能對檔案系統及多種儲存裝置的檔案徹底刪除資料。若AcidRain以根權限執行,會先啟動多次複寫,並刪除檔案系統內非標準的檔案。
這個程式會掃瞄所有可能的裝置檔案識別符(file identifier)、啟動裝置檔案,再以高達0x40000 bytes的資料覆寫之,或使用MEMGETINFO、MEMUNLOCK、MEMERASE和 MEMWRITEOOB等系統呼叫(IOCTL)指令。等刪除完成,即重新啟動裝置,結果讓裝置無法作用。
Viasat公司隨後公布調查結果,顯示攻擊有2階段,駭客先利用烏克蘭境內的多臺數據機發動阻斷服務攻擊,造成當地KA-SAT數據機斷線,之後進一步波及義大利的Viasat衛星通訊管理營運商Skylogic,導致攻擊擴大到歐洲其他地區的數據機。
根據分析,AcidRain使用的IOCTL類似攻擊過QNAP的VPNFilter刪除程式外掛,後者被認為是俄羅斯政府御用駭客Fancy Bear或Sandworm所使用的工具。
研究人員指出,雖然資料刪除程式相較其他類別的惡意程式來得罕見,但從烏克蘭戰爭開打一個多月以來,AcidRain已是第7隻,之前分別是WhisperKill、 WhisperGate、HermeticWiper、IsaacWiper、CaddyWiper和DoubleZero。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19
2024-11-14